Le rançongiciel Locky passe en mode verrouillage

Le rançongiciel Locky est passé à un mode de verrouillage crypté et protège désormais la communication réseau entre les victimes et les serveurs de commande et de contrôle grâce à un chiffrement à clé publique.

Le rançongiciel Locky a déboulé sur la toile en février et s’est depuis lors fait un nom en cryptant les fichiers et en paralysant les opérations dans les hôpitaux et les grandes entreprises. Ce rançongiciel est essentiellement distribué par courrier électronique et utilise le piratage psychologique pour l’ouverture ou l’activation de son programme de téléchargement. Le montant de la rançon varie entre 200 et 15 000 euros selon la taille de l’entreprise. Une fois les fichiers cryptés, il est pratiquement impossible de les décrypter sans la clé fournie par les développeurs de Locky.

Le passage en mode verrouillage rend les œuvres de Locky encore plus secrètes et renforce le contrôle des maîtres de la distribution du rançongiciel sur l’infrastructure de leur réseau, tout en restreignant la capacité des chercheurs à épier les activités botnet.

Locky-decrypted-response

« L’ajout du chiffrement à clé publique de la communication réseau met un bâton dans les roues des non-initiés qui ne sont alors plus en mesure de suivre ou même d’influencer les activités de Locky », a déclaré Moritz Kroll, chercheur en logiciels malveillants chez Avira. « Aujourd’hui, vous devez absolument avoir la clé privée RSA – la deuxième moitié de cette équation – pour accéder au réseau. Et les développeurs de Locky la gardent jalousement pour eux. »

Locky a toujours envoyé une clé publique spécifique à chacune de ses victimes comme partie intégrante du processus de chiffrement des fichiers. Aujourd’hui, il utilise également une clé publique RSA fournie avec l’échantillon, pour chiffrer les clés nécessaires pour la communication C&C. Avec cette nouvelle évolution, Locky envoie un blob binaire avec une chaîne de connexion chiffrée AES-CTR, ainsi qu’un bloc à chiffrement RSA avec deux clés et un code de hachage HMAC-SHA1.

« La clé privée RSA est requise pour extraire les clés de requête et de réponse. Sont ensuite déclenchés un autre déchiffrement du message de requête et une vérification du code de hachage. Si vous n’êtes pas en possession de cette clé RSA, vous ne pourrez ni comprendre la requête ni créer une réponse que le cheval de Troie Locky pourra déchiffrer et comprendre », explique Kroll.

Comme conséquence de ce changement, les informations pouvant être trouvées par les chercheurs lorsqu’ils épient les activités de Locky sont restreintes. Par le passé, les chercheurs étaient en mesure de s’engouffrer dans les domaines l’algorithme de génération de nom de domaine de Locky et de livrer des statistiques sur les infections et les activités :

Previously available information on Locky victims

Avec la nouvelle situation, ils peuvent certes obtenir l’adresse IP des victimes et les géolocaliser, mais il ne peut plus recueillir les informations sur les systèmes d’exploitation infectés, la taille potentielle de la victime et la rançon exigée (hors TVA).

Étant donné que les bandits ne suivent pas un code d’honneur, il n’est pas exclu que le chiffrement soit une mesure mise en place par les auteurs pour garder le contrôle de leur entreprise et de la marque Locky. D’autres cybercriminels ont déjà essayé de créer des imitations comme AutoLocky.

« C’est à se demander si un autre acteur malveillant est parvenu à créer un gouffre dans la communication C&C de Locky afin de distribuer sa propre clé de chiffrement avec son propre texte de rançon, et c’est là un moyen d’y mettre un terme », à en croire Kroll. « Cela pourrait contrarier les auteurs de Locky : ‘C’est nous qui faisons tout le boulot et quelqu’un d’autre vole notre argent durement gagné.’ »

Cet article est également disponible en: AnglaisAllemandItalien

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.