Le ransomware Locky est de retour. Ces dernières attaques de Locky tirent parti d’une technique d’infection utilisée dans les campagnes de malwares Dridex.
Tout a été calme sur le Front de l’Ouest. Les attaques de ransomwares Locky ne représentant plus qu’une infime fraction par rapport à celles observées en 2016. Au premier trimestre de 2017, elles ont pratiquement cessé et Cerber était devenu la plus grande menace en matière de ransomware.
Mais c’est sur le point de changer, car Locky est de retour. Son mécanisme de livraison a changé, et le crypto-ransomware est maintenant encore plus difficile à détecter.
La dernière campagne a été détectée par Cisco Talos et PhishMe. L’équipe Talos a identifié une campagne d’environ 35 000 spams répartis en quelques heures seulement. Les chercheurs suggèrent que les e-mails ont été envoyés à l’aide du botnet Necurs, qui était jusqu’à récemment utilisé pour l’envoi de spams liés aux stocks.
Nouvelle méthode d’infection utilisée dans les dernières attaques du ransomware Locky
La dernière campagne Locky utilise une méthode d’infection différente. Les campagnes précédentes ont utilisé des macros Word malveillantes attachées aux spams. Si la pièce jointe est ouverte, les utilisateurs finaux sont invités à activer les macros pour visualiser le contenu du document. L’activation des macros permet l’exécution d’un script qui télécharge la charge utile. Pour la dernière campagne, les spams ont été utilisés pour livrer des fichiers PDF.
Le changement de méthode d’infection s’explique facilement. Au cours des derniers mois, les macros Word ont été largement utilisées pour infecter les utilisateurs finaux avec des ransomwares. Le danger que représentent les macros Word a été largement rapporté et les entreprises ont mis en garde leur personnel contre les documents Word malveillants contenant ces macros.
Si un utilisateur final arrive à ouvrir une pièce jointe à un e-mail qui lui demande d’activer les macros, il est alors plus susceptible de fermer le document et déclencher l’alarme. Pour augmenter la probabilité que l’utilisateur final prenne les mesures souhaitées, les auteurs ont apporté un changement. Les macros sont toujours impliquées, mais plus tard dans le processus d’infection.
Les e-mails contiennent peu de texte et ils informent le destinataire que le fichier PDF contient une image ou un document numérisé, un bon de commande ou un reçu. Les fichiers PDF, quant à eux, sont plus fiables et sont plus susceptibles d’être ouverts. En ouvrant le fichier PDF, l’utilisateur sera invité à autoriser le lecteur PDF à télécharger un fichier supplémentaire. Pourtant, le deuxième fichier est un document Word contenant une macro que l’utilisateur final sera invité à activer.
Le reste du processus d’infection se déroule de la même manière que les précédentes attaques de Locky. En activant les macros, une charge utile Dridex sera téléchargée pour télécharger ensuite Locky. Locky procédera au chiffrement d’une large gamme similaire de types de fichiers sur l’ordinateur infecté, les périphériques de stockage connectés et les lecteurs réseau mappés.
La rançon exigée est de 1 bitcoin. C’est beaucoup plus que la rançon exigée par Locky lorsqu’il a vu le jour il y a un peu plus d’un an.
Ce qui a changé un peu pour cette campagne est que l’utilisateur doit installer le navigateur Tor pour pouvoir visiter le site de paiement. Ce changement serait dû au blocage des services proxy Tor.
L’ajout d’une étape supplémentaire dans le processus d’infection devrait entraîner d’autres infections. De nombreux utilisateurs qui n’ouvriraient pas une pièce jointe Word peuvent se faire avoir en ouvrant le PDF.
Les entreprises devraient tirer la sonnette d’alarme et envoyer des e-mails d’avertissement au personnel pour les avertir de cette nouvelle campagne et leur conseiller de se méfier des fichiers PDF dans leurs e-mails.