Le ransomware Locky a fait l’objet d’une distribution effrénée ces derniers temps et il cherche de nouvelles façons d’atteindre des taux d’infection encore plus élevés. Ce malware se concentre sur le changement de tactique ; sur l’expérimentation de nouvelles extensions et sur le développement de nouveaux appâts pour inciter les utilisateurs qui ne se doutent de rien à cliquer sur des liens malveillants. Dans leur dernière vague de spam, les cyberattaquants ont utilisé Dropbox pour distribuer cette célèbre souche de ransomwares.

Qu’est-ce que Dropbox ?

Dropbox est un service de partage et de stockage de fichiers basé dans le cloud. Comme il est très populaire, les cybercriminels profitent de sa notoriété pour mener différentes sortes d’attaques via le web.

Cette plate-forme de partage de fichiers est considérée comme une incroyable réussite technologique. Il n’est donc pas surprenant qu’actuellement, elle compte plus de 500 millions d’utilisateurs enregistrés et que, chaque jour, plus de 1,2 milliard de fichiers soient téléchargés sur la plateforme, aussi bien par des particuliers que par les professionnels dans le monde entier.

Tout cela fait de Dropbox un outil très familier pour les internautes. Depuis sa création en 2007, les gens l’utilisent quotidiennement pour améliorer leurs communications et pour stocker différents documents et fichiers. Cela a créé un sentiment de confiance entre la marque et ses utilisateurs. Ces derniers confient à Dropbox certaines de leurs données les plus personnelles et le considèrent comme un canal de communication efficace pour le partage d’informations sensibles avec d’autres parties.

En dépit de la présence prolifique de Dropbox dans notre vie personnelle et professionnelle, il se trouve actuellement dans la ligne de mire des pirates informatiques. Si on ajoute à cela la confiance que nous accordons à la plate-forme, le fait qu’elle peut communiquer avec nous directement via nos boîtes aux lettres électroniques, et le fait qu’il est désormais possible de communiquer plus facilement avec nos contacts via ce service, on obtient la combinaison parfaite pour que les pirates puisse mener des attaques de phishing et de ransomware réussies.

Comment un ransomware infecte-t-il votre ordinateur via Dropbox ?

Les attaques de phishing

Il existe deux principaux types d’attaques de phishing par Dropbox. La première consiste à envoyer un lien qui demande aux utilisateurs de vérifier leur adresse électronique. En cliquant sur le lien, ils sont dirigés vers un site Web Dropbox usurpé qui ressemble de près au site Web officiel. Ils sont ensuite invités à entrer leurs identifiants de connexion dans le cadre du processus de confirmation.

Une autre arnaque de phishing a également été signalée par Symantec. Lors de cette attaque, un utilisateur a reçu un e-mail qui ressemble beaucoup aux messages envoyés par le service d’assistance de Dropbox. L’e-mail prévient la victime qu’un fichier trop lourd pour être envoyé par e-mail a été envoyé via Dropbox. Il invite donc ce dernier à cliquer sur un lien pour y accéder. Une fois qu’il clique sur le lien, il est dirigé vers une fausse page Dropbox. Ironiquement, la page frauduleuse est hébergée au sein même de Dropbox et demande à l’utilisateur de se connecter. Lorsqu’il saisit ses informations d’identification, celles-ci sont ensuite volées par le cybercriminel.

Dans d’autres attaques, le cybercriminel propose aux utilisateurs de Dropbox de s’y connecter en utilisant des sites sociaux tels que Google et Outlook afin de pouvoir récolter d’autres informations d’identification. Une fois en possession de ces informations confidentielles, il dispose de l’accès au compte Dropbox de l’utilisateur qui, quant à lui, sera en même temps redirigé vers la véritable plate-forme.

Ces types d’arnaques reposent généralement sur quatre éléments, à savoir la familiarité des utilisateurs avec la plate-forme, la confiance qu’ils accordent au service Dropbox, leur curiosité à vouloir découvrir le fichier mystère envoyé par les pirates et, souvent, le sentiment d’urgence intégré à l’e-mail. Bref, les pirates tentent d’utiliser votre propre psychologie contre vous pour vous inciter à vous comporter d’une certaine manière.

Les attaques de malwares

Les attaques de phishing par Dropbox sont également utilisées pour diffuser des malwares tels que les chevaux de Troie bancaires et les ransomwares. Un lien est envoyé aux utilisateurs concernant un fichier partagé. Lorsque ces derniers cliquent sur le lien fourni, ils téléchargent un malware, au lieu d’accéder au document.

Cette tactique utilise à nouveau la confiance des internautes comme levier pour mener une attaque de phishing. Elle consiste à utiliser une autre entreprise de confiance dans le but de susciter un comportement spécifique de la victime.

Un exemple de cette arnaque est la récente attaque de phishing qui utilisait une fausse version du site web du Better Business Bureau. La plate-forme malveillante a envoyé des e-mails à des personnes qui semblaient avoir été envoyés par le FBI. Le message demandait à l’utilisateur de cliquer sur un lien qui le redirigeait vers un faux site Dropbox. Sur le site, un fichier contenant un malware ou un ransomware était fourni. Si l’utilisateur télécharge le fichier, le malware pouvait donc s’installer sur son ordinateur.

Les cybercriminels peuvent utiliser différentes variantes d’attaques de malwares. Pour augmenter leur chance de réussir, ils peuvent ajouter un certain degré d’urgence dans un faux courriel ; associer cette urgence à une peur (perte financière, compromission d’un compte, etc.,) ; ou ajouter une marque connue et de confiance.

Rappelons qu’en septembre 2016, un hôpital a été infecté par Locky qui s’est propagé via de fausses factures Microsoft Word. Lorsqu’une personne peu méfiante a tenté de télécharger la facture, elle a été invitée à activer des macros. Une fois activées, les macros commençaient à télécharger et à exécuter un chiffrement qui verrouillait le système informatique. Les conséquences d’une telle attaque sont énormes pour les hôpitaux, car elle peut affecter des milliers de dossiers privés.

Locky se propage via une campagne massive de spams

Au cours des derniers jours, il y a eu une campagne massive utilisant ces deux méthodes d’attaque impliquant des millions de spams. La semaine dernière, plus de 23 millions de messages ont été envoyés en une seule journée.

La plupart des emails distribuaient des ransomwares Locky, et un plus petit pourcentage servait à diffuser des ransomwares Shade. Il n’y a pas un outil de déchiffrement gratuit disponible pour déverrouiller les fichiers chiffrés par les ransomware Locky et Shade. Si les fichiers ne peuvent pas être récupérés à partir des sauvegardes, les victimes devront creuser profondément.

En tant qu’arme de choix pour la cybercriminalité, les ransomwares ne cessent de prendre de l’ampleur. Désormais, ils peuvent être lancés même par des personnes qui n’ont que peu d’expérience en informatique. De plus, les cybercriminels amateurs peuvent embaucher des pirates sur le Dark Web et lancer des logiciels de phishing auto-exécutoires, capables de répliquer d’eux-mêmes.

Locky peut brouiller tous vos fichiers

Une fois qu’il a infecté votre machine, le ransomware peut bloquer tous vos fichiers, y compris les images, les vidéos, les codes sources et les fichiers Office. Il peut même brouiller votre fichier wallet.dat, c’est-à-dire votre portefeuille Bitcoin, si vous en avez un. En d’autres termes, si vous avez plus de Bitcoins dans votre portefeuille que le prix de la rançon, il est fort probable que vous allez payer.

Locky peut aussi supprimer les fichiers VSS (Volume Snapshot Service), connus sous le nom de copies d’ombre. Les fichiers VSS sont un moyen de faire des snapshots de sauvegarde en direct sur Windows sans avoir à arrêter de travailler, car vous n’avez pas besoin de vous déconnecter ni de fermer vos applications. Il s’agit donc d’une alternative rapide et populaire et d’une procédure de sauvegarde très prisée.

Enfin, sachez que Locky peut chiffrer les fichiers dans n’importe quel répertoire sur n’importe quel disque monté sur votre appareil, y compris les disques amovibles, les serveurs, etc. Si vous vous connectez en tant qu’administrateur réseau, vous pourriez être victime d’une demande de rançon et l’attaque pourrait causer des dommages très importants.

Une fois que Locky s’apprête à vous demander la rançon, il s’assure que vous voyez le message en changeant le fond d’écran de votre ordinateur. Si vous cliquez sur le lien intégré au message, alors, vous recevez les instructions de paiement via le Dark Web. Malheureusement, si vous ne payez pas, vous ne pourrez pas récupérer vos données au cas où vous n’auriez pas réalisé une sauvegarde récente.

Les coûts peuvent être énormes

Une récente étude publiée par Exabeam met en avant la tendance récente dans le paysage des ransomwares. La société a observé qu’au cours de la campagne de recherche qu’elle a menée, le prix des ransomwares a considérablement augmenté.

Il y a quelques mois, au moment de la rédaction du rapport, la rançon moyenne pour chaque machine infectée était évaluée à 0,5 jusqu’à 1,25 Bitcoins, soit l’équivalent de 3693 à 9232 euros. Cependant, étant donné que les ransomwares ont connu un grand succès, leurs prix ont fortement grimpé. Par exemple, la rançon exigée par Cerber, un ransomware populaire, a grimpé d’environ 1,25 à 2 Bitcoins, soit environ 9232 à 14771 euros. Pendant la même période, une attaque réussie via Locky était évaluée à 0,5 à 5 Bitcoins, soit environ 3692 plus de 36928 euros.

En raison de l’augmentation de la valeur du Bitcoin ces derniers temps, le coût de la récupération est considérable. Les acteurs malveillants à l’origine de ces attaques exigent 0,5 Bitcoin par dispositif infecté (environ 3693 euros). Pour une entreprise où plusieurs appareils ont été infectés, la récupération des données pourrait donc coûter des dizaines, voire des centaines de milliers d’euros.

Selon F-Secure, la majorité des spams malveillants détectés récemment (90 %) sont utilisés pour distribuer Locky. D’autres chercheurs en sécurité ont publié des rapports similaires, faisant état d’une recrudescence des infections Locky et des campagnes de spam par email.

Comment savoir si un e-mail provient réellement de Dropbox ?

Les e-mails envoyés officiellement par Dropbox n’apparaîtront que sur ou à partir de l’un de noms de domaine Dropbox comme dropbox.com ou dropboxmail.com. Mais pour être certain, vous pouvez consulter les en-têtes complets du message pour savoir s’il provient ou non d’une adresse falsifiée.

Gmail

Avant d’ouvrir l’e-mail, cliquez sur « … » (Plus) dans le coin supérieur droit.

Cliquez sur « Afficher l’original ».

Vérifiez l’adresse e-mail sous De : …

Yahoo Mail

Avant d’ouvrir l’e-mail, cliquez sur (Plus).

Cliquez sur « Afficher le message brut ».

Vérifiez l’adresse e-mail sous De :…..

Microsoft Outlook

Double-cliquez sur l’email afin qu’il s’ouvre dans une nouvelle fenêtre.

Sélectionnez l’onglet « Fichier » et cliquez sur « Propriétés ».

Web uniquement : cliquez sur « Détails du message » (une enveloppe sur laquelle se trouve un petit document)

Vérifiez l’adresse e-mail sous De :….

Apple Mail

Faites un clic droit avec votre souris sur l’e-mail et sélectionnez « Afficher la source dans le menu contextuel ».

Vérifiez l’adresse e-mail sous De :….

Ces quelques astuces vous permettront de reconnaitre si le message provient réellement de dropbox.com, de dropboxmail.com ou non.

N’oubliez pas de signaler le mail suspect à Dropbox

Si vous avez reçu un e-mail suspect, il est recommandé d’envoyer le message complet à abuse@dropbox.com. De même si vous recevez un lien suspect, envoyez-le à cette adresse en incluant une description de la manière dont vous avez reçu l’URL complète du lien.

Vous pouvez également contacter l’équipe Dropbox pour d’autres informations à abuse@dropbox.com. Au cas où une éventuelle violation de la politique d’utilisation serait constatée (telle qu’une attaque de phishing, de spamming ou de malwares), l’équipe Dropbox prendra immédiatement les mesures nécessaires.

Que faire si vos fichiers ont été corrompus par un ransomware ?

Si votre compte Dropbox a été infecté par un ransomware, vous pouvez adopter quelques mesures pour vous assurer de sa sécurité. Et si vous n’utilisez pas encore ce service, découvrez comment Dropbox peut faciliter la récupération de vos fichiers.

1. Déconnectez-vous à distance de vos appareils

C’est la première chose que vous devez faire si vous ne savez pas quel appareil est infecté par un malware tel que Locky.

2. Restaurez vos fichiers ou dossiers

Si vous voulez restaurer un fichier individuel, vous devez accéder à la page de l’historique des versions dudit fichier, puis sélectionner une version du fichier qui a été sauvegardée avant l’attaque de ransomware. Ce faisant, vous n’avez plus qu’à cliquer sur restaurer.

Il est également possible de restaurer un grand nombre de fichiers sur Dropbox. Le moyen le plus simple étant d’utiliser Dropbox Rewind. Cette fonctionnalité vous permet de rétablir l’intégralité de votre compte ou d’un dossier. Pour ce faire, vous devez remonter le temps jusqu’au moment qui a précédé l’attaque de ransomware. A noter que option est réservée aux utilisateurs de Dropbox Family, Dropbox Plus, Dropbox Professional et Dropbox Business.

3. Connectez-vous à votre appareil

Avant de faire cela, il est recommandé de vérifier que votre appareil n’est pas infecté par un malware. Ensuite, vous devez supprimer le dossier Dropbox contenant les fichiers chiffrés. Lorsque vous vous reconnectez à votre appareil, assurez-vous de ne télécharger que les fichiers récupérés et non chiffrés auprès de Dropbox.

Comment éviter les attaques de ransomwares ?

Pour prévenir les attaques de Locky, les entreprises doivent installer une solution avancée de filtrage de spams afin d’empêcher les emails malveillants d’être envoyés dans les boîtes de réception des utilisateurs finaux. Il est également important que tous les utilisateurs reçoivent une formation de sensibilisation à la sécurité pour les aider à identifier les emails malveillants.

Un filtre web peut éventuellement être très efficace pour bloquer les tentatives de visite de sites web malveillants où des malwares pourraient être téléchargés. Par ailleurs, le fait d’actualiser les solutions antivirus et antimalware permet de détecter et de mettre en quarantaine les fichiers malveillants avant leur ouverture.

Des sauvegardes de toutes les données et de tous les systèmes devraient aussi être effectuées. Celles-ci devraient être stockées sur un dispositif isolé. Les variantes de ransomware telles que Locky peuvent supprimer les copies Windows Shadow Volume et, si un périphérique de sauvegarde reste connecté, il est probable que les fichiers de sauvegarde risquent également d’être chiffrés par les pirates informatiques.

Les meilleures pratiques pour la sauvegarde des données impliquent la création de trois fichiers de sauvegarde sur deux supports différents, avec une copie stockée hors site et hors ligne. Les sauvegardes doivent également être testées pour s’assurer que les fichiers peuvent être restaurés en cas de sinistre.

L’augmentation des attaques de ransomwares a incité le National Institute of Standards and Technology (NIST) à élaborer de nouvelles directives (NIST SPECIAL PUBLICATION 1800-11) sur la récupération des données suite à des attaques de ransomwares et d’autres sinistres. Les lignes directrices de ces directives peuvent être téléchargées ici.

Conclusion

Il faut reconnaître que les cybercriminels sont de plus en plus ingénieux et ils ne cessent de trouver différents moyens de vous envoyer vers des faux sites web, mais qui sont plus vrais que nature. Ils utilisent la renommée de grands groupes pour tenter de vous duper, d’infecter vos appareils ou votre réseau par des malwares, ou encore de dérober vos données sensibles.

Dans ce dossier, nous avons parlé d’une infection par Locky, une menace que vous devez craindre si vous êtes un utilisateur de la plate-forme Dropbox. La raison est simple : Dropbox est actuellement l’un des moyens préférés des internautes pour sauvegarder des fichiers ; sa flexibilité ainsi que ses capacités de synchronisation font de lui une solution attrayante, mais il est aussi la cible de prédilection des pirates informatiques.

Faites des efforts supplémentaires pour protéger vos fichiers et données sensibles. Formez vos collaborateurs pour qu’ils puissent identifier les menaces de malwares et prendre les mesures adaptées en cas d’attaques cybercriminelles. Enfin, mettez en place un filtre Internet et une couche de protection supplémentaire pour éviter les attaques de phishing lancées via le web et le courrier électronique.