Locky poursuit ses attaques en France, dernière victime : l’AFP

5
125

L’AFP vient d’être victime d’attaques de Locky, un rançongiciel (ou ransomware) qui chiffre les données d’un utilisateur et lui réclame de l’argent pour les débloquer. Le CERT-FR alertait déjà le public concernant Locky le 19 février dernier.

Les pirates à l’origine de la propagation de Dridex se lancent dans les ransomwares avec « Locky » !

Dans une récente publication, la société Proofpoint détaillait les résultats de ses recherches sur ce rançongiciel. Le billet mettait notamment en lumière le lien qui unit Locky et Dridex, leurs auteurs semblant être les mêmes. Les chercheurs de Proofpoint ont mis au jour un nouveau ransomware, dénommé « Locky », distribué via des documents Word comportant des macros malveillantes. Bien que de nombreux logiciels similaires aient fait leur apparition depuis la fin de l’année 2015, Locky se démarque car sa propagation est due aux hackers étant à l’origine de nombreuses campagnes induisant Dridex et identifiées au cours de cette même année.

Envoi de spams

Comme cela fut le cas lors de la plupart des campagnes caractérisées par des logiciels malveillants, Locky est diffusé via des pièces jointes douteuses. Des messages provenant d’expéditeurs aléatoires, et avec pour objet « ATTN : facture J-12345678 », incluent en effet le document « invoice_J-12345678.doc ». Les pièces jointes constituent des fichiers Word comportant des macros qui permettent le téléchargement et l’installation du ransomware Locky, découvert par les chercheurs de Proofpoint le 16 février 2016.

Le botnet (un ensemble de machines infectées permettant l’envoi de spams) concerné ici est identique à celui qui permet la diffusion de la plupart des messages incluant le cheval de Troie bancaire Dridex. Auparavant, ce botnet était associé aux identifiants 120, 122, 123, 220, 223, 301 (entre autres), ainsi qu’à certains logiciels malveillants n’induisant pas Dridex, comme Ursnif (5 janvier 2016), Nymaim (15 décembre 2015), TeslaCrypt (14 décembre 2015) et Shifu (7 octobre 2015).

Les pirates se trouvant aux commandes s’inspirent clairement des méthodes employés pour diffuser Dridex. En effet, l’envergure des campagnes n’avait de cesse d’accroître avec Dridex, mais elle est encore plus conséquente avec Locky. De plus, alors que nous avions identifié une telle campagne induisant Dridex, nous avons, le jour même, remarqué la propagation de Locky via un kit d’exploitation Neutrino dédié à la diffusion de logiciels malveillants de type Necur. Lorsqu’ils sont exécutés sur la même machine virtuelle, le document transmis via Neutrino et le courrier électronique diffusé dans le cadre de l’envoi en masse sont associés au même identifiant individuel, redirigent vers le même portefeuille de bitcoins et semblent se rapporter à une infrastructure identique. L’explication ? Les mêmes hackers transmis de manière conjointe.

Si les utilisateurs ouvrent la pièce jointe, il est nécessaire que ceux-ci activent les macros pour que l’infection se produise.

Ransomware Locky

Le ransomware permet de chiffrer les fichiers en fonction de leur extension, et le message malveillant concerné s’affiche dans le bloc-notes (Figure 5). En outre, ce même message s’affiche en arrière-plan, à la place du bureau (Figure 4). Si l’utilisateur clique sur les liens .onion (ou tor2web) mentionnés, il est invité à acheter des bitcoins, à les transmettre à une adresse spécifique, puis à actualiser la page, ce qui entraîne le téléchargement du programme déchiffreur. Nous ne savons pas, à l’heure actuelle, si ce dernier s’initialise également si l’utilisateur paie.

locky-encrypt

Locky permet de chiffrer la plupart des fichiers présents sur les disques locaux de l’utilisateur. Certains rapports indiquent même que c’est également le cas des fichiers se trouvant sur des disques partagés. Les formats de fichier suivants sont concernés :

.m4u | .m3u | .mid | .wma | .flv | .3g2 | .mkv | .3gp | .mp4 | .mov | .avi | .asf | .mpeg | .vob | .mpg | .wmv | .fla | .swf | .wav | .mp3 | .qcow2 | .vdi | .vmdk | .vmx | .gpg | .aes | .ARC | .PAQ | .tar.bz2 | .tbk | .bak | .tar | .tgz | .gz | .7z | .rar | .zip | .djv | .djvu | .svg | .bmp | .png | .gif | .raw | .cgm | .jpeg | .jpg | .tif | .tiff | .NEF | .psd | .cmd | .bat | .sh | .class | .jar | .java | .rb | .asp | .cs |.brd | .sch | .dch | .dip | .pl | .vbs | .vb | .js | .asm | .pas | .cpp | .php | .ldf | .mdf | .ibd | .MYI | .MYD | .frm | .odb | .dbf | .db | .mdb | .sql | .SQLITEDB | .SQLITE3 | .asc | .lay6 | .lay | .ms11 (Security copy) | .ms11 | .sldm | .sldx | .ppsm | .ppsx | .ppam | .docb | .mml | .sxm | .otg | .odg | .uop | .potx | .potm | .pptx | .pptm | .std | .sxd | .pot | .pps | .sti | .sxi | .otp | .odp | .wb2 | .123 | .wks | .wk1 | .xltx | .xltm | .xlsx | .xlsm | .xlsb | .slk | .xlw | .xlt | .xlm | .xlc | .dif | .stc | .sxc | .ots | .ods | .hwp | .602 | .dotm | .dotx | .docm | .docx | .DOT | .3dm | .max | .3ds | .xml | .txt | .CSV | .uot | .RTF | .pdf | .XLS | .PPT | .stw | .sxw | .ott | .odt | .DOC | .pem | .p12 | .csr | .crt | .key

Avec Locky, du trafic DGA est généré dans le programme de saisie des commandes (les domaines répertoriés ci-dessous n’étaient pas enregistrés au moment où nous avons procédé à cette enquête) :

  • vkrdbsrqpi[.]de
  • jaomjlyvwxgdt[.]fr
  • wpogw[.]it
  • ofhhoowfmnuihyd[.]ru

Plusieurs indicateurs de compromission (fichiers, clés de registre, etc.) ont été détectés :

  • Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Locky
  • Registry: HKCU\Software\Locky\id
  • Registry: HKCU\Software\Locky\pubkey
  • Registry: HKCU\Software\Locky\paytext
  • File: C:\Users\(username)\AppData\Local\Temp\ladybi.exe
  • File: C:\Users\(username)\Documents\_Locky_recover_instructions.txt
  • Command: vssadmin.exe Delete Shadows /All /Quiet
  • Command: “C:\Windows\system32\NOTEPAD.EXE”
  • C:\Users\Admin\Desktop\_Locky_recover_instructions.txt

Bien que l’application de solutions de protection au niveau des réseaux et des terminaux permette toujours plus de prendre les mesures qui s’imposent avec les ransomwares ayant fait les gros titres au cours des dernières années (CryptoLocker, CryptoWall, etc.), de nouvelles variantes continueront à émerger. Rendez-vous à nouveau sur notre site cette semaine pour consulter la liste de tous les nouveaux ransomwares incriminés.

Les commentaires sont fermés.