Deux vagues de ransomwares auraient ciblé entre 500.000 et 1 million de boîtes mails d’entreprises, à 95% en France.

Le ransomware (rançongiciel) Locky a fait l’objet de d’une nouvelle campagne de propagation qui a particulièrement frappé la France en début de semaine. L’attaque n’est pas nouvelle, en juillet 2016 plusieurs millions de boîtes mails avaient reçu un message infectieux, puis les attaques avaient continué mais en perdant de l’intensité.

La cible des entreprises françaises

Les nouvelles vagues d’attaques – l’éditeur français Vade Secure a annoncé avoir bloqué 369.000 emails contenant le ransomware – affichent une particularité, celle de s’attaquer à une zone géographique précise. Et c’est la France et les entreprises françaises, tous les types d’entreprises (!), qui s’y collent, plus de 95% des emails bloqués concernant ces dernières.

Cette attaque est emblématique des menaces ciblées qui nous guettent : des attaques ciblées, courtes, à la fois pour éviter de se faire repérer, et pour obtenir un maximum d’impact. Techniquement, l’attaque repose sur des botnets en infrastructure distribuée, des PC vérolés ou encore des réseaux d’objets connectés agissant ensemble pour diffuser un email qui embarque un malware, un fichier pirate. Et malheur à qui ouvre le fichier sans être protégé, il tombe invariablement entre les griffes des pirates.

Ici, Locky le logiciel malicieux est un crypto-ransomware, un logiciel qui crypte (chiffre) les fichiers sur le poste infecté, rendus ainsi illisibles, et qui nécessitent l’utilisation d’une clé pour les déchiffrer.  L’attaque s’accompagne d’une rançon, généralement en crypto-monnaie Bitcoin, à payer pour retrouver l’usage de ses fichiers (ce qui n’est pas toujours le cas non plus, lire « Cybersécurité : ne payez pas la rançon ! Sauf si… »).

Modus operandi

La nouvelle campagne Locky repose sur un mode d’attaque en poupées russes : un mail invite à ouvrir le fichier PDF attaché d’un prétendu reçu de paiement, qui révèle un fichier Word ou Excel. En cherchant à ouvrir ce dernier, l’utilisateur lance un script qui va charger le ransomware. Nous sommes toujours surpris par ce type de montage qui devrait éveiller l’attention des personnes qui reçoivent les mails douteux…

« Ce type d’attaque très courte s’appuie sur des infrastructures distribuées, des dizaines de milliers d’adresses IP différentes qui se coordonnent via des botnet et attaquent d’une traite », explique Sébastien Gest, évangéliste chez Vade Secure, qui a révélé l’ampleur de l’attaque. « Une attaque trop lourde et trop longue peut avoir un effet visible sur une infrastructure d’une entreprise qui n’a pas la masse critique pour la supporter. Dès qu’un malware est détecté, il est rapidement arrêté. D’où l’intérêt de faire des frappes courtes pour avoir un maximum d’impact ».

L’ingénierie pirate

Rappelons que ce type d’attaque repose sur des attaques massives et rapides avec l’objectif de piéger un maximum d’utilisateurs avant d’être repérées puis bloquées. Ainsi que sur l’ingénierie comportementale, qui consiste à composer des messages pour tromper l’attention des personnes ciblées. D’autant plus facilement que selon Trustlook, 45% des consommateurs ignorent l’existence même des ransomwares.

Et ensuite ? Une fois piégés, avec leurs fichiers cryptés, 38% des victimes paient la rançon de mandée. L’ingénierie comportementale fait une nouvelle fois effet, les pirates ont l’astuce de ne pas placer la barre très haut sur le montant des rançons exigées, préférant la quantité à la qualité…

Image @ iStock 533992794