Le ransomware Locky a fait l’objet d’une distribution effrénée ces derniers temps et il cherche de nouvelles façons d’atteindre des taux d’infection encore plus élevés. Ce logiciel malveillant se concentre sur le changement de tactique ; sur l’expérimentation de nouvelles extensions et sur le développement de nouveaux appâts pour inciter les utilisateurs qui ne se doutent de rien à cliquer sur des liens malveillants. Dans leur dernière vague de spam, les cyberattaquants ont utilisé Dropbox pour distribuer cette célèbre souche de ransomwares.

Dropbox est une plate-forme populaire de partage de fichiers. Les employés ont l’habitude de recevoir des liens les informant que leurs collègues ont partagé des fichiers via cette plateforme, et les cybercriminels profitent de sa notoriété pour mener des attaques via le web.

Comment un Ransomware infecte-t-il votre ordinateur ?

Il existe deux principaux types d’attaques de phishing par Dropbox. La première consiste à envoyer un lien qui demande aux utilisateurs de vérifier leur adresse électronique. En cliquant sur le lien, ils sont dirigés vers un site Web Dropbox usurpé qui ressemble de près au site Web officiel. Ils sont ensuite invités à entrer leurs identifiants de connexion dans le cadre du processus de confirmation.

Les attaques de phishing par Dropbox sont également utilisées pour diffuser des malwares tels que les chevaux de Troie bancaires et les ransomwares. Un lien est envoyé aux utilisateurs concernant un fichier partagé. Lorsque ces derniers cliquent sur le lien fourni, ils téléchargent un malware, au lieu d’accéder au document.

Rappelons qu’en septembre 2016, un hôpital a été infecté par Locky qui s’est propagé via de fausses factures Microsoft Word. Lorsqu’une personne peu méfiante a tenté de télécharger la facture, elle a été invitée à activer des macros. Une fois activées, les macros commençaient à télécharger et à exécuter un chiffrement qui verrouillait le système informatique. Les conséquences d’une telle attaque sont énormes pour les hôpitaux, car elle peut affecter des milliers de dossiers privés.

Locky se propage via une campagne massive de spams

Au cours des derniers jours, il y a eu une campagne massive utilisant ces deux méthodes d’attaque impliquant des millions de spams. La semaine dernière, plus de 23 millions de messages ont été envoyés en une seule journée.

La plupart des emails distribuaient des ransomwares Locky, et un plus petit pourcentage servait à diffuser des ransomwares Shade. Il n’y a pas un outil de déchiffrement gratuit disponible pour déverrouiller les fichiers chiffrés par les ransomware Locky et Shade. Si les fichiers ne peuvent pas être récupérés à partir des sauvegardes, les victimes devront creuser profondément.

En tant qu’arme de choix pour la cybercriminalité, les ransomwares ne cessent de prendre de l’ampleur. Désormais, ils peuvent être lancés même par des personnes qui n’ont que peu d’expérience en informatique. De plus, les cybercriminels amateurs peuvent embaucher des pirates sur le Dark Web et lancer des logiciels de phishing auto-exécutoires, capables de répliquer d’eux-mêmes.

Locky peut brouiller tous vos fichiers

Une fois qu’il a infecté votre machine, le ransomware peut bloquer tous vos fichiers, y compris les images, les vidéos, les codes sources et les fichiers Office. Il peut même brouiller votre fichier wallet.dat, c’est-à-dire votre portefeuille Bitcoin, si vous en avez un. En d’autres termes, si vous avez plus de Bitcoins dans votre portefeuille que le prix de la rançon, il est fort probable que vous allez payer.

Locky peut aussi supprimer les fichiers VSS (Volume Snapshot Service), connus sous le nom de copies d’ombre. Les fichiers VSS sont un moyen de faire des snapshots de sauvegarde en direct sur Windows sans avoir à arrêter de travailler, car vous n’avez pas besoin de vous déconnecter ni de fermer vos applications. Il s’agit donc d’une alternative rapide et populaire et d’une procédure de sauvegarde très prisée.

Enfin, sachez que Locky peut chiffrer les fichiers dans n’importe quel répertoire sur n’importe quel disque monté sur votre appareil, y compris les disques amovibles, les serveurs, etc. Si vous vous connectez en tant qu’administrateur réseau, vous pourriez être victime d’une demande de rançon et l’attaque pourrait causer des dommages très importants.

Une fois que Locky s’apprête à vous demander la rançon, il s’assure que vous voyez le message en changeant le fond d’écran de votre ordinateur. Si vous cliquez sur le lien intégré au message, alors, vous recevez les instructions de paiement via le Dark Web. Malheureusement, si vous ne payez pas, vous ne pourrez pas récupérer vos données au cas où vous n’auriez pas réalisé une sauvegarde récente.

Les coûts peuvent être énormes

Une récente étude publiée par Exabeam met en avant la tendance récente dans le paysage des ransomwares. La société a observé qu’au cours de la campagne de recherche qu’elle a menée, le prix des ransomwares a considérablement augmenté.

Il y a quelques mois, au moment de la rédaction du rapport, la rançon moyenne pour chaque machine infectée était évaluée à 0,5 jusqu’à 1,25 Bitcoins, soit l’équivalent de 3693 à 9232 euros. Cependant, étant donné que les ransomwares ont connu un grand succès, leurs prix ont fortement grimpé. Par exemple, la rançon exigée par Cerber, un ransomware populaire, a grimpé d’environ 1,25 à 2 Bitcoins, soit environ 9232 à 14771 euros. Pendant la même période, une attaque réussie via Locky était évaluée à 0,5 à 5 Bitcoins, soit environ 3692 plus de 36928 euros.

En raison de l’augmentation de la valeur du Bitcoin ces derniers temps, le coût de la récupération est considérable. Les acteurs malveillants à l’origine de ces attaques exigent 0,5 Bitcoin par dispositif infecté (environ 3693 euros). Pour une entreprise où plusieurs appareils ont été infectés, la récupération des données pourrait donc coûter des dizaines, voire des centaines de milliers d’euros.

Selon F-Secure, la majorité des spams malveillants détectés récemment (90 %) sont utilisés pour distribuer Locky. D’autres chercheurs en sécurité ont publié des rapports similaires, faisant état d’une recrudescence des infections Locky et des campagnes de spam par email.

Comment savoir si un e-mail provient réellement de Dropbox ?

Les e-mails envoyés officiellement par Dropbox n’apparaîtront que sur ou à partir de l’un de noms de domaine Dropbox comme dropbox.com ou dropboxmail.com. Mais pour être certain, vous pouvez consulter les en-têtes complets du message pour savoir s’il provient ou non d’une adresse falsifiée.

Gmail

Avant d’ouvrir l’e-mail, cliquez sur « … » (Plus) dans le coin supérieur droit.

Cliquez sur « Afficher l’original ».

Vérifiez l’adresse e-mail sous De : …

Yahoo Mail

Avant d’ouvrir l’e-mail, cliquez sur (Plus).

Cliquez sur « Afficher le message brut ».

Vérifiez l’adresse e-mail sous De :…..

Microsoft Outlook

Double-cliquez sur l’email afin qu’il s’ouvre dans une nouvelle fenêtre.

Sélectionnez l’onglet « Fichier » et cliquez sur « Propriétés ».

Web uniquement : cliquez sur « Détails du message » (une enveloppe sur laquelle se trouve un petit document)

Vérifiez l’adresse e-mail sous De :….

Apple Mail

Faites un clic droit avec votre souris sur l’e-mail et sélectionnez « Afficher la source dans le menu contextuel ».

Vérifiez l’adresse e-mail sous De :….

Ces quelques astuces vous permettront de reconnaitre si le message provient réellement de dropbox.com, de dropboxmail.com ou non.

N’oubliez pas de signaler le mail suspect à Dropbox

Si vous avez reçu un e-mail suspect, il est recommandé d’envoyer le message complet à abuse@dropbox.com. De même si vous recevez un lien suspect, envoyez-le à cette adresse en incluant une description de la manière dont vous avez reçu l’URL complète du lien.

Vous pouvez également contacter l’équipe Dropbox pour d’autres informations à abuse@dropbox.com. Au cas où une éventuelle violation de la politique d’utilisation serait constatée (telle qu’une attaque de phishing, de spamming ou de malwares), l’équipe Dropbox prendra immédiatement les mesures nécessaires.

Comment éviter les attaques de ransomwares ?

Pour prévenir les attaques de Locky, les entreprises doivent installer une solution avancée de filtrage de spams afin d’empêcher les emails malveillants d’être envoyés dans les boîtes de réception des utilisateurs finaux. Il est également important que tous les utilisateurs reçoivent une formation de sensibilisation à la sécurité pour les aider à identifier les emails malveillants.

Un filtre web peut éventuellement être très efficace pour bloquer les tentatives de visite de sites web malveillants où des malwares pourraient être téléchargés. Par ailleurs, le fait d’actualiser les solutions antivirus et antimalware permet de détecter et de mettre en quarantaine les fichiers malveillants avant leur ouverture.

Des sauvegardes de toutes les données et de tous les systèmes devraient aussi être effectuées. Celles-ci devraient être stockées sur un dispositif isolé. Les variantes de ransomware telles que Locky peuvent supprimer les copies Windows Shadow Volume et, si un périphérique de sauvegarde reste connecté, il est probable que les fichiers de sauvegarde risquent également d’être chiffrés par les pirates informatiques.

Les meilleures pratiques pour la sauvegarde des données impliquent la création de trois fichiers de sauvegarde sur deux supports différents, avec une copie stockée hors site et hors ligne. Les sauvegardes doivent également être testées pour s’assurer que les fichiers peuvent être restaurés en cas de sinistre.

L’augmentation des attaques de ransomware a incité le National Institute of Standards and Technology (NIST) à élaborer de nouvelles directives (NIST SPECIAL PUBLICATION 1800-11) sur la récupération des données suite à des attaques de ransomwares et d’autres sinistres. Les lignes directrices de ces directives peuvent être téléchargées ici.