Locky ransomware autopilot

Le rançongiciel Locky en pilotage automatique

Les dernières versions du rançongiciel Locky sont dotées d’une fonctionnalité de pilotage automatique améliorée capable de couper complètement les communications réseau et de chiffrer les fichiers sans aucune instruction des centres de commande et de contrôle.

« En franchissant cette nouvelle étape, c’en est fini du jeu du chat et de la souris et des perpétuelles configurations de serveurs dans l’attente de leur inscription sur liste noire ou démantèlement », explique Moritz Kroll, spécialiste des logiciels malveillants pour le Laboratoire de protection Avira.

Les développeurs du malware Locky sont désormais en mesure d’opérer en mode furtif, plus à l’abri des programmes de sécurité, et de réduire par là-même les coûts liés au déploiement de leur infrastructure.  Auparavant, la configuration Locky faisait appel à des URL CnC (Command and Control) et à un paramètre contrôlant un algorithme de génération de domaines (DGA, domain generation algorithm) chargé de créer davantage d’URL CnC.

Locky ransomware autopilot

« Il s’agit là d’un perfectionnement du mode d’infection hors ligne. En minimisant la quantité d’activités en ligne, les pirates n’ont plus à leur charge autant de serveurs et de domaines », précise Moritz Kroll, spécialiste des logiciels malveillants pour le Laboratoire de protection Avira.  « mais en contrepartie, ils perdent sur la fiabilité des statistiques d’infection relatives à leur travail. »

Les algorithmes DGA reposent habituellement sur des formules basées sur le temps, permettant la création d’un grand nombre de noms de domaines utilisables par les codes malveillants pour entrer en contact avec les maîtres au niveau des CnC. Bien qu’enfouie dans un véritable nuage d’informations erronées, l’activité réelle génère une effervescence de communication réseau au niveau des domaines du DGA, qui font ainsi l’objet de véritables carottages par les chercheurs en sécurité informatique.

« Les DGA permettent certes de générer des quantités importantes de noms de domaine, mais Locky n’en a utilisé qu’une douzaine tous les deux jours », poursuit M. Kroll.  « Les modifications apportées au fonctionnement relèvent à la fois de l’optimisation des coûts et de la réduction des pistes laissées aux autorités sur leurs traces. »

Pour le paiement, la configuration intègre toujours des URL pointées vers le service dissimulé par les pirates informatiques au sein du réseau Tor. « Même s’ils sont forcés de se soumettre à un certain niveau au paiement des services utilisés pour la distribution et le spam via des kits d’exploitation, ils ont simplifié leurs besoins technologiques. »

La dernière configuration du code malveillant s’inscrit dans la continuité de la stratégie de ses auteurs, qui repose sur l’utilisation d’une clé publique commune à toutes les « victimes hors ligne » d’un même échantillon du rançongiciel, couplée à un numéro d’identification spécifique, en lieu et place de générer une clé publique par utilisateur.

Échantillon de référence: https://www.virustotal.com/en/file/608448984cf46274241009f7697b34b4e8a4cea8e9b712c1e4ea65a08d6e706a/analysis/

Cet article est également disponible en: AnglaisAllemandItalien

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.