Le ransomware Locky : une nouvelle vague d’e-mails piégés décelée
Des spécialistes en cybersécurité ont décelé une nouvelle vague de spam diffusant Locky. Cette famille de ransomware était pourtant sur le déclin, battue à plate couture par Cerber qui était en pleine expansion et devenait le rançogiciel le plus performant. Donc suite à ces nouveaux assauts, on peut constater que Locky n’a pas encore fini de faire entendre parler de lui !
Petit rappel : qui est Locky ?
Il s’agit d’un ransomware, également appelé en français rançongiciel. Comme son nom l’indique, il prend en otages vos fichiers lorsqu’il pénètre dans votre système informatique et vous réclame une rançon à payer. Il est né en février 2016 et se trouve être l’œuvre des mêmes pirates qui ont conçu le ransomware Dridex l’année 2015. Juste quelques semaines après son apparition, Locky était sur toutes les bouches, il s’est propagé à la vitesse de la lumière dans tout le vieux continent, notamment dans l’Hexagone et en Outre-Rhin. Vers fin 2016, il est parti aussi vite qu’il est venu. Son image en tant que leader des ransomwares s’est doucement estompée au profit d’une nouvelle vague de variante qui n’est autre que Cerber.
Cerber prend la tête de la course face à Locky
Une étude menée par la société Malwarebytes dévoila que Cerber vole clairement la vedette à locky. Ce rapport annonce en effet que Cerber a représenté en mars 2017 près de 87 % des attaques, ce qui fait d’elle, la variante de ransomware numéro 1. Selon encore cette enquête, ce déclin de locky s’explique par la décision des administrateurs du botnet Necurs (l’un des botnets les plus actifs) de mettre un terme à la diffusion de ransomware pour se consacrer pleinement au spam d’email. Seulement, plusieurs sociétés d’expertise en cybersécurité ont averti le public après avoir découvert une nouvelle vague de propagation de Locky fin avril 2017.
Locky revient en force !
Ce retour soudain du ransomware semblait provenir du botnet Necurs selon une investigation menée par Talos, une équipe de chercheurs en cyber-menaces. On en conclut par conséquent que les opérateurs de ce botnet ont décidé de revenir à la charge et de relancer la diffusion de ransomware à travers de leurs systèmes. Les principales cibles de cette nouvelle vague d’emails sont en majorité des entreprises de divers pays, dont la France. Ces mails contiennent un document PDF qui, une fois ouvert, enclenche l’activation d’un pop-up qui va inciter l’internaute à ouvrir le document via Word. Une fois le document ouvert, une image s’affiche et invitera encore une fois l’utilisateur à activer les macros, ce qui va chiffrer les fichiers de la victime. Comme l’explique l’équipe de Talos, ce genre de technique a déjà été pratiqué par le ransomware bancaire Dridex. Les données de la victime sont alors prises en otage et vont porter l’extension de fichier « .Osiris ». Les hackers réclameront ensuite une rançon de 0,5 bitcoins (soit environ 590 euros), en s’engageant à déchiffrer les fichiers contre le paiement.
Locky est donc bel est bien revenu sur le devant de la scène et ce retour du Botnet Necurs n’augure rien de bon, car on pourrait croire à de nouvelles attaques de mails piégés durant les semaines, voire les mois à venir !