Locky ransomware takes the wheel again

Locky reprend le contrôle

Locky fait machine arrière et semble abandonner le mode hors ligne, si l’on en croit les programmes affiliés incluant à nouveau des informations CnC (données relatives aux centres de commande et de contrôle) dans leur configuration et la diminution significative du nombre d’affiliés fonctionnant en mode hors ligne.

« Peut-être le pilotage automatique n’a-t-il pas fonctionné aussi bien qu’espéré. Ou peut-être étaient-ils trop curieux pour se passer de statistiques d’infection précises », s’interroge Moritz Kroll, spécialiste des logiciels malveillants pour le Laboratoire de protection Avira.

La diffusion d’une configuration Locky capable de se passer d’une connexion CnC est à double-tranchant pour les cybercriminels. L’absence d’informations sur les CnC, et notamment d’adresse IP, facilite la dissimulation du réseau Locky hors de portée des spécialistes de la sécurité et de la police. Toutefois, elle empêche le retour d’informations vers les cybercriminels, qui ne sont alors plus en mesure de collecter de données relatives à l’efficacité des différentes campagnes de distribution exécutées par leurs affiliés.

« Dès le 16 septembre, le programme affilié n° 13 était le premier à réintégrer des données CnC dans sa configuration, alors que les affiliés n° 1 et 3 fonctionnaient encore en mode hors ligne. Puis, le 19 septembre, nous avons pu constater que les affiliés n° 1 et 5 intégraient à leur tour des données CnC. À l’heure actuelle, seuls les affiliés n° 3 et 21 semblent encore persévérer en mode de pilotage automatique », explique M. Kroll.

Lorsque Locky fonctionne en mode de pilotage automatique, tous les composants de communication réseau sont désactivés : le rançongiciel peut chiffrer les fichiers des victimes sans recevoir aucune instruction des centres de commande et de contrôle, œuvrant ainsi à l’abri des programmes de sécurité.


ARTICLE ASSOCIÉ

https://blog.avira.com/fr/locky-pilotage-automatique/


Les réseaux affiliés constituent un élément clé dans la progression du Ransomware as a Service (RaaS, rançongiciel en tant que service), qui vise à rétribuer les affiliés en fonction des victimes payant la rançon demandée. Bien que les réseaux soient souvent personnalisés à l’adresse d’un segment ou produit spécifique, le principe de base reste le même : « Vous êtes payé pour le service (trafic, installation) fourni, qu’il s’agisse d’un rançongiciel, d’applications potentiellement indésirables ou de logiciel publicitaire », précise-t-il encore. « Votre numéro d’affilié permet de vous identifier pour une répartition claire des fonds récoltés. »

Cet article est également disponible en: AnglaisAllemandItalien

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.