Le rançongiciel Locky et le botnet Dridex respecteront-ils la trêve de Pâques ?

Les analystes spécialistes des logiciels malveillants d’Avira pensent que le botnet disséminant le rançongiciel Locky pourrait bien marquer une pause et ne pas envoyer d’e-mails d’hameçonnage en Europe le lundi de Pâques, jour férié qui tombe ce 28 mars.

Si cela se produit, l’étendue du ralentissement observé témoignera de la capacité des opérateurs du botnet à ajuster le rayonnement de leurs actions en fonction des jours fériés régionaux. Le lundi 28 mars sera férié dans la plupart des pays européens et donc chômé par la quasi-totalité des entreprises et administrations. Ce n’est cependant pas un jour férié aux États-Unis.

La stratégie opérationnelle du rançongiciel Locky consiste à déployer de nouveaux vecteurs d’attaque et de nouvelles variantes au début de chaque semaine. De cette manière, les e-mails d’hameçonnage gagnent les entreprises au retour du week-end, lorsque les employés tentent d’écumer rapidement leurs e-mails et avant que les informations relatives aux dernières attaques ne soient divulguées par les médias. Ainsi, l’analyse des tentatives d’hameçonnage interceptées pour la semaine du 7 mars met en évidence le point de départ d’une vague de distribution de Locky le lundi 7 précisément.

Lundi 7 mars - Dridex revient en force avec le rançongiciel Locky.

« Nous nous attendons à un nombre réduit de tentatives d’hameçonnage par Locky ce lundi, avec une forte hausse dès le lendemain, mardi 29. L’écart observé nous permettra de déterminer précisément la capacité du botnet à adapter sa stratégie de propagation », précise Oscar Anduiza, analyste en logiciel malveillant chez Avira.  « Mais même si la propagation ralentit, nous ne nous attendons pas à ce que les ténors du logiciel malveillant prennent congé le week-end – nous devrions découvrir leurs nouvelles tromperies 24 heures plus tard, le mardi. Quoi qu’il en soit, Avira reste sur le pied de guerre. Et les utilisateurs doivent se garder de cliquer sur des e-mails étranges juste parce qu’ils sont en week-end. »

Le rançongiciel Locky a fait irruption au début de l’année. Il a généralement ciblé des entreprises et organisations, envoyant des e-mails imitant des factures d’entreprises légitimes, la plupart du temps à grand renfort d’informations bien renseignées. Après ouverture de cette pièce jointe, les fichiers personnels de l’ordinateur cible sont chiffrés et leurs extensions changées en « locky ». La rançon exigée pour le déchiffrement des fichiers s’est jusqu’à présent élevée de 0,5 bitcoins (175 euros) à 15 000 euros pour un hôpital aux États-Unis.

Locky est distribué par le biais du botnet Dridex. Bien que ce dernier ait jusqu’alors principalement été mis en cause dans la distribution de chevaux de Troie bancaires, il semble désormais cibler le secteur plus lucratif des rançongiciels.

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.