Ransomware : Locky reprend du service
Publié par Christophe Lagane le | Mis à jour le
Après quelques semaines d'inactivité, le ransomware Locky revient renforcé avec des outils d'anti-détection.
Il s'était fait discret ces dernières semaines. Ce n'était que pour mieux ressurgir. Le ransomware Locky profite d'une nouvelle campagne de spam pour tenter d'élargir toujours plus le nombre de ses victimes. « Le Dynamic Threat Intelligence Intelligence (DTI) de FireEye a identifié une augmentation de JavaScript contenu dans les e-mails de spam, indique la société de sécurité. Les analystes de FireEye ont déterminé que cette croissance était le résultat d'une nouvelle campagne de spam du ransomware Locky. »
Après un déclin d'activité amorcé mi mai et une mise en sommeil quasi-totale depuis le 1er juin, au point que l'on aurait pu croire à la disparition de l'un des rançongiciels les plus efficaces, Locky a soudainement repris du service ces derniers jours. Au point de retrouver un taux de distribution aussi élevé que sur le reste de l'année 2016.
La France peu touchée pour l'heure
Le Japon est le premier pays touché par cette nouvelle campagne. Entre le 21 et le 23 juin, la zone a reçu près de 45% des courriels embarquant le malware. Suivi des Etats-Unis (17,65%) et de la Corée du Sud (17,17%). Avec 1,13% des envois, l'Allemagne s'inscrit comme le pays le moins touché des 10 premières régions surveillées par FireEye. Et la France a la chance de ne pas y figurer alors qu'elle constituait, en avril dernier, l'une des principales cibles de l'agent malveillant. Rappelons que, si ce dernier est exécuté, il se met à chiffrer les données du disque local et réseaux, voire les périphériques de stockage connectés. Seule le paiement d'une rançon permettra de les retrouver (sauf à les avoir précédemment sauvegardées).
En regard de l'actuelle campagne de spam, Locky se dissimule dans un fichier ZIP présenté comme une facture (d'une vague commande livrée en retard) joint à l'e-mail infectieux. Mais « au lieu d'une facture, l'archive ZIP contient un chargeur Locky écrit en JavaScript », détaille FireEye. Et les auteurs de Locky ont pris le temps d'améliorer leur code pour contrer les fonctions de détection et les tests de simulation réalisés dans le bac-à-sable pour multiplier les chances d'infection. Certains éditeurs d'anti-virus, dont BitDefender, avaient en effet développé des outils gratuits pour bloquer Locky. Et Microsoft avait décidé de bloquer par défaut les macros d'Office 2016 pour contrer les ransomwares. « A ce jour, la campagne de spam Locky est toujours en cours, avec l'ajout d'une technique anti-analyse / anti bac à sable, conclut l'expert en sécurité. Nous nous attendons à d'autres campagnes de spam Locky. » Le recensement des victimes devrait suivre rapidement.
Lire également
Les ransomwares s'engouffrent dans la faille zero day de Flash
Ransomware Locky : l'AFP touchée, son RSSI témoigne
Le ransomware Locky mute pour multiplier ses victimes en France