Les attaques de phishing par Dropbox sont relativement courantes et trompent souvent les employés en leur faisant révéler leurs informations sensibles ou en téléchargeant des malwares.

Dropbox est une plate-forme populaire de partage de fichiers. Les employés ont l’habitude de recevoir des liens les informant que leurs collègues ont partagé des fichiers avez eux via cette plateforme, et les cybercriminels profitent de sa notoriété pour mener des attaques via le web.

Il existe deux principaux types d’attaques de phishing par Dropbox. La première consiste à envoyer un lien qui demande aux utilisateurs de vérifier leur adresse électronique. En cliquant sur le lien, ils sont dirigés vers un site Web Dropbox usurpé qui ressemble de près au site Web officiel. Ils sont ensuite invités à entrer leurs identifiants de connexion dans le cadre du processus de confirmation.

Les attaques de phishing par Dropbox sont également utilisées pour diffuser des malwares tels que les chevaux de Troie bancaires et les ransomwares. Un lien est envoyé aux utilisateurs concernant un fichier partagé. Lorsque ces derniers cliquent sur le lien fourni, ils téléchargent un malware, au lieu d’accéder au document.

Au cours des derniers jours, il y a eu une campagne massive utilisant ces deux méthodes d’attaque impliquant des millions de spams. La semaine dernière, plus de 23 millions de messages ont été envoyés en une seule journée.

La plupart des emails distribuaient des ransomwares Locky, et un plus petit pourcentage servait à diffuser des ransomwares Shade. Il n’y a pas un outil de déchiffrement gratuit disponible pour déverrouiller les fichiers chiffrés par les ransomware Locky et Shade. Si les fichiers ne peuvent pas être récupérés à partir des sauvegardes, les victimes devront creuser profondément.

En raison de l’augmentation de la valeur du Bitcoin ces derniers temps, le coût de la récupération est considérable. Les acteurs malveillants à l’origine de ces attaques exigent 0,5 bitcoin par dispositif infecté, soit environ 2 400$. Pour une entreprise où plusieurs appareils ont été infectés, la récupération des données pourrait donc coûter des dizaines, voire des centaines de milliers de dollars.

Selon F-Secure, la majorité des spams malveillants détectés récemment (90%) sont utilisés pour distribuer Locky. D’autres chercheurs en sécurité ont publié des rapports similaires, faisant état d’une recrudescence des infections Locky et des campagnes de spam par email.

Pour prévenir les attaques de Locky, les entreprises doivent installer une solution avancée de filtrage de spams afin d’empêcher les emails malveillants d’être envoyés dans les boîtes de réception des utilisateurs finaux. Il est également important que tous les utilisateurs reçoivent une formation de sensibilisation à la sécurité pour les aider à identifier les emails malveillants.

Un filtre web peut éventuellement être très efficace pour bloquer les tentatives de visite de sites web malveillants où des malwares pourraient être téléchargés. Par ailleurs, le fait d’actualiser les solutions antivirus et antimalware permet de détecter et de mettre en quarantaine les fichiers malveillants avant leur ouverture.

Des sauvegardes de toutes les données et de tous les systèmes devraient aussi être effectuées. Celles-ci devraient être stockées sur un dispositif isolé. Les variantes de ransomware telles que Locky peuvent supprimer les copies Windows Shadow Volume et, si un périphérique de sauvegarde reste connecté, il est probable que les fichiers de sauvegarde risquent également d’être chiffrés par les pirates informatiques.

Les meilleures pratiques pour la sauvegarde des données impliquent la création de trois fichiers de sauvegarde sur deux supports différents, avec une copie stockée hors site et hors ligne. Les sauvegardes doivent également être testées pour s’assurer que les fichiers peuvent être restaurés en cas de sinistre.

L’augmentation des attaques de ransomware a incité le National Institute of Standards and Technology (NIST) à élaborer de nouvelles directives (NIST SPECIAL PUBLICATION 1800-11) sur la récupération des données suite à des attaques de ransomwares et d’autres sinistres. Les lignes directrices de ces directives peuvent être téléchargées ici.