Le nouveau Locky vise les entreprises françaises

La nouvelle campagne de propagation de Locky qui se répand ces derniers jours a particulièrement frappé la France hier, lundi 24 avril. Vade Secure annonce avoir bloqué, à lui seul, 369 000 exemplaires de l’email contenant le ransomware. « Dont 200 000 chez nos partenaires clients et opérateurs et 169 000 sur notre Cloud », précise Sébastien Gest, Tech évangéliste chez l’éditeur français de sécurisation des boîtes emails. Qui ajoute avoir constaté un nouveau pic de 25 000 envois, ce mardi 25 avril, lors d’une courte attaque autour de 12h. Signalons, à titre personnel, que les équipes de NetMediaEurope, éditeur de Silicon.fr, ont elles-mêmes reçu un avertissement de son prestataire technique sur l’existence de cette nouvelle campagne. Une alerte relativement rare dans nos services.

Certes, le volume constaté depuis hier peut sembler insignifiant en regard des 1,4 million d’emails infectieux Locky que Vade Secure bloquait chaque jour en juillet 2016. Un taux qui s’était affaibli au fil des mois pour tomber à 600 000 fin décembre. Mais la nouvelle campagne de tentative d’infection semble se distinguer par des attaques ciblant des zones géographiques précises. « Plus de 95% des e-mails bloqués hier se destinaient à des entreprises françaises », confirme l’expert qui rappelle que sa société protège quelques 400 millions de boîtes électroniques de 76 pays dans le monde dont les Etats-Unis et le Japon. En revanche, Vade Secure n’a pas constaté de profil particulier des entreprises ciblées. « Tous les types d’entreprises sont concernés, du grand compte à la petite PME », assure le technicien. Rappelons que Locky est un crypto-ransomware qui, s’il est exécuté, va chiffrer tous les fichiers rencontrés sur son passage et réclamer une rançon, généralement en bitcoin, pour que la victime retrouve l’usage de ses documents.

Des attaques courtes pour un maximum d’impact

La rapidité des attaques et leur ciblage géographique s’explique probablement par le souci qu’ont les attaquants d’éviter de se faire repérer et, donc, blacklister. « Ce type d’attaque très courte s’appuie sur des infrastructures distribuées, des dizaines de milliers d’adresses IP différentes qui se coordonnent via des botnet et attaquent d’une traite, explique Sébastien Gest. Une attaque trop lourde et trop longue peut avoir un effet visible sur une infrastructure d’une entreprise qui n’a pas la masse critique pour la supporter. » Qui plus est, la brièveté des charges permet aux cybercriminels d’en vérifier immédiatement l’efficacité. En cas, d’échec patent, ils changent rapidement de zones. « Dès qu’un malware est détecté, il est rapidement arrêté, insiste notre interlocuteur. D’où l’intérêt de faire des frappes courtes pour avoir un maximum d’impact. »

Le mode d’infection distingue aussi la nouvelle campagne des précédentes. Le crypto-ransomware se charge après avoir activé un script contenu dans un document Word ou Excel, lui-même intégré dans un fichier PDF qui se fait passer pour la numérisation d’un reçu de paiement. Un mode d’attaque à tiroir (ou poupées russes) qui pourrait mettre la puce à l’oreille du destinataire. Sauf que le modèle exploite une faille zero day dans la suite Office (qu’a reconnue Microsoft) qui permet à la charge malveillante de passer, via un PDF, les anti-spam afin de télécharger le script infectieux sur la machine une fois passée la barrière de sécurité. Qui plus est, l’e-mail envoyé a le même domaine que celui du destinataire. « Dans les grandes entreprises où l’éducation sur les ransomwares et les malwares n’a pas encore été faite, ça peut s’avérer redoutablement efficace », souligne Sébastien Gest. Qui n’a cependant pas de retour sur l’impact éventuel du nouveau Locky sur les entreprises françaises. « De notre côté, nous avons arrêté tous les emails infectieux », assure-t-il.

Lire également
Locky revient à travers une nouvelle campagne de spam
Ransomwares : 38 % des victimes paient leur rançon
Le ransomware Locky s’invite sur Facebook