Le rançongiciel Locky se diffuse en copiant Dridex

De prétendues factures jointes à des e-mails de relance venant de prestataires inconnus sous la forme de fichiers Word… C’est ainsi que beaucoup d’internautes français ont été en contact avec le logiciel malveillant Dridex, à l’automne dernier, mais encore aujourd’hui. Mais ce n’est peut-être pas Dridex.

Dans un billet de blog, les équipes de l’unité 42 de Palo Alto Networks, la division de renseignement sur les menaces de l’équipementier, expliquent qu’un nouveau logiciel malveillant empreinte le mode de distribution de Dridex : un e-mail de relance contenant une facture sous la forme d’un fichier Word.

Il s’agit de Locky, un rançongiciel de plus. Mais celui-ci se distingue toutefois de ses concurrents : il dialogue avec un serveur de commande et de contrôle pour échanger des clés avant de procéder au chiffrement des données ; la plupart des ransomwares génèrent directement la clé de chiffrement des données de leur victime localement, avant de la transmettre à leurs opérateurs.

Les équipes de l’unité 42 indiquent avoir observé plus de 445 000 sessions liées à Locky à travers le monde, dont une majorité aux Etats-Unis. Mais l’Europe et la France ne sont pas épargnées. Industrie, enseignement supérieur, détaillants et grossistes ressemblent plus d’un tiers des victimes. De son côté, Heimdal Security a observé des variantes de pourriels de distribution de Locky rédigées en allemand.

Locky ne se contente pas de chiffrer les données du poste compromis : comme d’autres logiciels tout aussi malveillants, il s’attaque aussi aux données des partages réseau connectés. Cela fait, il fait de sa victime un zombie intégré à botnet.

Récemment, un hôpital de Los Angeles a vu ses activités considérablement affectées par un rançongiciel. Selon le New York Post, sa direction a finalement accepté de verser une rançon de 17 000 $ en bitcoins pour obtenir, en retour, les clés ayant été utiliser pour chiffrer les données de ses systèmes compromis.