La nouvelle campagne de propagation de Locky qui se répand ces derniers jours a particulièrement frappé la France hier, lundi 24 avril. Vade Secure annonce avoir bloqué, à lui seul, 369 000 exemplaires de l’email contenant le ransomware. « Dont 200 000 chez nos partenaires clients et opérateurs et 169 000 sur notre Cloud », précise Sébastien Gest, Tech évangéliste chez l’éditeur français de sécurisation des boîtes emails. Qui ajoute avoir constaté un nouveau pic de 25 000 envois, ce mardi 25 avril, lors d’une courte attaque autour de 12h. Signalons, à titre personnel, que les équipes de NetMediaEurope, éditeur de Silicon.fr, ont elles-mêmes reçu un avertissement de son prestataire technique sur l’existence de cette nouvelle campagne. Une alerte relativement rare dans nos services.
Certes, le volume constaté depuis hier peut sembler insignifiant en regard des 1,4 million d’emails infectieux Locky que Vade Secure bloquait chaque jour en juillet 2016. Un taux qui s’était affaibli au fil des mois pour tomber à 600 000 fin décembre. Mais la nouvelle campagne de tentative d’infection semble se distinguer par des attaques ciblant des zones géographiques précises. « Plus de 95% des e-mails bloqués hier se destinaient à des entreprises françaises », confirme l’expert qui rappelle que sa société protège quelques 400 millions de boîtes électroniques de 76 pays dans le monde dont les Etats-Unis et le Japon. En revanche, Vade Secure n’a pas constaté de profil particulier des entreprises ciblées. « Tous les types d’entreprises sont concernés, du grand compte à la petite PME », assure le technicien. Rappelons que Locky est un crypto-ransomware qui, s’il est exécuté, va chiffrer tous les fichiers rencontrés sur son passage et réclamer une rançon, généralement en bitcoin, pour que la victime retrouve l’usage de ses documents.
La rapidité des attaques et leur ciblage géographique s’explique probablement par le souci qu’ont les attaquants d’éviter de se faire repérer et, donc, blacklister. « Ce type d’attaque très courte s’appuie sur des infrastructures distribuées, des dizaines de milliers d’adresses IP différentes qui se coordonnent via des botnet et attaquent d’une traite, explique Sébastien Gest. Une attaque trop lourde et trop longue peut avoir un effet visible sur une infrastructure d’une entreprise qui n’a pas la masse critique pour la supporter. » Qui plus est, la brièveté des charges permet aux cybercriminels d’en vérifier immédiatement l’efficacité. En cas, d’échec patent, ils changent rapidement de zones. « Dès qu’un malware est détecté, il est rapidement arrêté, insiste notre interlocuteur. D’où l’intérêt de faire des frappes courtes pour avoir un maximum d’impact. »
Le mode d’infection distingue aussi la nouvelle campagne des précédentes. Le crypto-ransomware se charge après avoir activé un script contenu dans un document Word ou Excel, lui-même intégré dans un fichier PDF qui se fait passer pour la numérisation d’un reçu de paiement. Un mode d’attaque à tiroir (ou poupées russes) qui pourrait mettre la puce à l’oreille du destinataire. Sauf que le modèle exploite une faille zero day dans la suite Office (qu’a reconnue Microsoft) qui permet à la charge malveillante de passer, via un PDF, les anti-spam afin de télécharger le script infectieux sur la machine une fois passée la barrière de sécurité. Qui plus est, l’e-mail envoyé a le même domaine que celui du destinataire. « Dans les grandes entreprises où l’éducation sur les ransomwares et les malwares n’a pas encore été faite, ça peut s’avérer redoutablement efficace », souligne Sébastien Gest. Qui n’a cependant pas de retour sur l’impact éventuel du nouveau Locky sur les entreprises françaises. « De notre côté, nous avons arrêté tous les emails infectieux », assure-t-il.
Lire également
Locky revient à travers une nouvelle campagne de spam
Ransomwares : 38 % des victimes paient leur rançon
Le ransomware Locky s’invite sur Facebook
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.