Des entreprises françaises victimes du ransomware CTB-Locker

Selon plusieurs sources concordantes, le ransomware CTB-Locker a commencé à faire des victimes parmi des entreprises françaises.

Bitdefender vient de tirer la sonnette d’alarme sur son blog. Une nouvelle variante du rançon-giciel CTB-Locker est apparue. Elle vise spécifiquement la France et les pays francophones. L’éditeur d’anti-virus rejoint ainsi le Cert de la Société Générale, qui fait état de la même menace sur son blog, exemples d’e-mails infectés à l’appui.

CTB-Locker est un logiciel malveillant capable de chiffrer les fichiers sur le disque dur, demandant une rançon pour les déchiffrer. Il s’installe sur l’ordinateur de sa victime à l’occasion de l’ouverture d’une pièce jointe transmise dans un courrier électronique pour tromper son destinataire. Comme le montrent plusieurs exemples, il s'agit généralement de prétendues factures qu’il convient de régler. Ces factures semblent essentiellement porter sur des équipements informatiques.

Echantillon de message utilisé pour propager CTB-Locker.

Fin janvier, Eset avait alerté sur CTB-Locker, indiquant qu’il vise l’Europe et l’Amérique latine. Mais ce "rançon-giciel" touche réellement des entreprises françaises. Gérôme Billois, responsable de la practice sécurité de Solucom, explique avoir été sollicité par une dizaine d’entreprises, pour plusieurs milliers de postes concernés : « la campagne ne vise pas de client en particulier, et touche tous les secteurs d’activité ».

Vincent Nguyen, directeur technique du Cert Solucom, souligne de son côté que les particuliers sont également concernés. Et justement, souvent, « l’entreprise peut se trouver affectée via les e-mails personnels de ses collaborateurs ». Gérôme Billois y voit d’ailleurs un risque important : « si un collaborateur a accès à son compte de messagerie personnel sur son poste de travail, il risque de l’infecter, mais également de compromettre des partages réseau ».

Car CTB-Locker ne se contente pas de chiffrer les fichiers du disque dur interne : il touche aussi à ceux des périphériques externes montés, comme des clés USB, ou des partages réseaux connectés.

Un plaidoyer pour la sauvegarde hors-ligne pour contrer CTB-Locker

Un risque majeur pour les entreprises, et encore plus pour celles misant sur de la réplication de données en ligne et en temps réel pour assurer la résilience de leurs systèmes. Là, la contagion peut s’avérer désastreuse en l’absence de sauvegardes hors ligne, comme le relève Gérôme Billois.

D’autant plus que CTB-Locker est un rançon-giciel pour lequel il n’existe pas encore de faille connue : « il y a bien des familles de ransomware sur lesquels on connaît des failles et l’on sait déchiffrer. Mais là, on n’a pas encore trouvé ». Alors sans sauvegarde hors ligne des données, régulièrement testée, il n’y a pas véritablement d’espoir de salut.

Reste alors la prévention, « qui vaut ce qu’elle vaut… c’est toujours une course contre la montre ». Cette prévention, le Cert de la Société Générale en est à l’avant-garde. Dans son billet de blog consacré à CTB-Locker, il publie une liste régulièrement actualisée de liens utilisés par le logiciel malveillant pour le téléchargement de son module de chiffrement… de quoi bloquer sa récupération au niveau des passerelles Web de l’entreprise.

Reste que, pour Gérôme Billois, CTB-Locker n’est finalement qu’un « crypto-ransomware de plus, qui ne sera pas le dernier ». De quoi appeler à l’adoption de multiples pratiques de prévention, comme les sauvegardes hors lignes, mais aussi l’isolation des usages professionnels et personnels sur le poste de travail. Un enseignement tiré de la prolifération des smartphones en entreprise, serait-on tenté de souligner.

Pour approfondir sur Menaces, Ransomwares, DDoS

Close