Die 5 schlimmsten Passwortfehler

L’arroseur arrosé : le réseau Locky piraté et conspué

Ce mois-ci, il semblerait qu’un réseau de distribution très florissant du rançongiciel Locky ait été victime d’une attaque similaire par un chapeau blanc.

Locky est un rançongiciel qui chiffre les fichiers et les données personnelles sur les ordinateurs des victimes après avoir pris soin de les infecter. Les attaquants exigent ensuite le versement d’une rançon. Nous avons publié plusieurs articles à ce sujet, notamment ce récent article.

La diffusion de ce rançongiciel par e-mail est assez directe : une fausse facture en JavaScript est envoyée en pièce jointe à l’e-mail. Le processus d’infection démarre dès l’instant où le destinataire commet l’erreur de cliquer sur le fichier en pièce jointe pour l’exécuter. L’e-mail d’hameçonnage ci-dessous montre comment le piratage psychologique peut piéger les utilisateurs d’ordinateur et permettre à une infection d’avoir lieu :

locky_stupid_01

Généralement, le fichier JavaScript contenu dans la pièce jointe est obscurci, ce qui signifie que le véritable contenu est invisible ou incompréhensible pour le destinataire de l’e-mail. Le fichier JavaScript lui-même contient un algorithme de génération de domaine utilisé pour la connexion au serveur des criminels et pour le téléchargement du rançongiciel Locky. En outre, le programme de téléchargement indique l’emplacement où les fichiers malveillants doivent être copiés dans le système infecté et les exécute. Dans notre cas, l’URL suivante a été générée :

hxxp://cafeaparis.eu/f7****d

Mais au lieu du rançongiciel escompté, nous avons téléchargé un binaire 12 byte avec le message en texte clair « Stupid Locky ».

locky_stupid_02

Résultat : l’exécution a été directement arrêtée, puisque le fichier ne présentait pas une structure valide.

locky_stupid_03

Apparemment quelqu’un a réussi à accéder à l’un des serveurs de commande et de contrôle et à remplacer le rançongiciel Locky original par un fichier fictif. Et je veux dire non seulement fictif, mais aussi stupide. Je ne pense pas que les cybercriminels ont eu eux-mêmes l’idée de cette opération, cela reviendrait à se tirer une balle dans le pied. Je les imagine mal prendre le risque de voir leur réputation ternie et leur flux de revenus diminué. Je ne peux pas non plus prétendre que « Locky est mort » à la suite de cette opération. Comme nous le savons, les criminels ne se reposent pas sur leurs lauriers et ils connaissent très bien leur « métier ». Mais après les exemples de Dridex et maintenant Locky, on constate que les cybercriminels, bien que maîtres dans l’art du camouflage, n’en sont pas pour autant invulnérables.

Cet article est également disponible en: AnglaisAllemandItalien

Team Leader Virus Lab Disinfection Service