Téléverser un fichier

locky: le piratage de données frappe de nouveau @itrustblog

  • Home
  • Software
  • Locky: le piratage de données frappe de nouveau @ITrustBlog
3
Locky : le piratage de données frappe de nouveau Dans un précédent article nous parlions de la mafia de la cybersécurité – l’infâme CryptoLocker. Aujourd’hui, nous portons notre attention vers une nouvelle classe de rançongiciels qui a déjà fait d’énormes dégâts dans le monde entier : Locky. Découvert le 16 février, cette menace malveillante se propage agressivement dans toute la France, l’Allemagne et l’Australie et son nombre de victimes n’arrête pas d’augmenter. En utilisant des campagnes de spam, les créateurs de Locky ont dupé des dizaines de milliers d’utilisateurs à ouvrir les pièces jointes infectées, pour prendre en otage leurs documents importants récupérables en échange d’une rançon en BTC (entre 210-420 $). Cela vous est familier ? Evidemment, Locky utilise la même stratégie d’exploitation que le CryptoLocker: la prise d’otage de vos données encryptées se prolonge jusqu’à ce que l’utilisateur ait atteint son point de rupture et décide qu’il est temps de payer. Toutefois, l’équipe ITrust a identifié quelques particularités concernant cette menace, qui pourront éventuellement vous servir dans la lutte contre ces pirates. LE CONSEIL DE NOS INGÉNIEURS SÉCURITÉ ITRUST Il est important de vérifier : que vous n’avez pas reçu de mails qui ont pour sujet, Invoice J- XXXX ; que vous n’avez pas reçu de mails avec une pièce jointe javascript ou au format J-XXXX ; qu’il ne soit pas déjà dans votre réseau en train de chiffrer des donnéés. Les traces relevées jusqu’ici montrent qu’il est présent si les clés de registre suivantes s’observent : HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Locky HKCU\Software\Locky\id HKCU\Software\Locky\pubkey HKCU\Software\Locky\paytext Ou bien si les fichiers suivants se sont installés sur les stations de

Upload: itrust-cybersecurity-as-a-service

Post on 18-Feb-2017

128 views

Category:

Software


1 download

Report

TRANSCRIPT

Page 1: Locky: le piratage de données frappe de nouveau @ITrustBlog

Locky : le piratage de données frappe de nouveau

Dans un précédent article nous parlions de la mafia de la cybersécurité – l’infâme CryptoLocker. Aujourd’hui, nous portons notre attention vers une nouvelle classe de rançongiciels qui a déjà fait d’énormes dégâts dans le monde entier : Locky. Découvert le 16 février, cette menace malveillante se propage agressivement dans toute la France, l’Allemagne et l’Australie et son nombre de victimes n’arrête pas d’augmenter.

En utilisant des campagnes de spam, les créateurs de Locky ont dupé des dizaines de milliers d’utilisateurs à ouvrir les pièces jointes infectées, pour prendre en otage leurs documents importants récupérables en échange d’une rançon en BTC (entre 210-420 $). Cela vous est familier ?

Evidemment, Locky utilise la même stratégie d’exploitation que le CryptoLocker: la prise d’otage de vos données encryptées se prolonge jusqu’à ce que l’utilisateur ait atteint son point de rupture et décide qu’il est temps de payer. Toutefois, l’équipe ITrust a identifié quelques particularités concernant cette menace, qui pourront éventuellement vous servir dans la lutte contre ces pirates.

LE CONSEIL DE NOS INGÉNIEURS SÉCURITÉ ITRUST

Il est important de vérifier :

que vous n’avez pas reçu de mails qui ont pour sujet, Invoice J-XXXX ; que vous n’avez pas reçu de mails avec une pièce jointe javascript ou au format J-XXXX ; qu’il ne soit pas déjà dans votre réseau en train de chiffrer des donnéés.

Les traces relevées jusqu’ici montrent qu’il est présent si les clés de registre suivantes s’observent :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Locky HKCU\Software\Locky\id HKCU\Software\Locky\pubkey HKCU\Software\Locky\paytext

Ou bien si les fichiers suivants se sont installés sur les stations de travail ou serveur :

C:\Users\(Username)\AppData\Local\Temp\Iadybi.exe C:\Users\(Username)\Documents\_Locky_recover_instructions.txt

Page 2: Locky: le piratage de données frappe de nouveau @ITrustBlog

COMMENT FONCTIONNE LOCKY

Supposons un instant que vous êtes au travail, que vous répondiez à vos mails et que vous vérifiez en même temps votre portable, et qu’en parallèle vous pensiez au document que votre patron exige pour demain. Tout d’un coup, vous recevrez un e-mail contenant en pièce jointe une invoice (de type extension .doc) à payer une facture de téléphone que vous avez probablement oublié, ayant comme objet suggestif « ATTN: invoice J-[NUMÉROS ALÉATOIRES] ». Mais comment cela peut-il être? Coincé entre toutes les tâches à gérer et la pression de la date limite, vous commencez à douter et vous cliquez sur la pièce jointe.

Voilà comment tout commence avec un simple clic. Et cela peut arriver à tout le monde, que ce soit le PDG d’une grande organisation ou votre voisin.

Une fois que Locky a profité avec succès de votre réactivité (vous auriez payé cette facture de toute façon, non?), le document Word que vous venez d’ouvrir vous demande l’activation de macros « si l’encodage de données est incorrect ». Rien de suspect, à l’exception du fait que vous avez involontairement donné votre consentement au code malveillant de fonctionner sur votre système d’information et enregistrer un fichier sur votre disque. Ce fichier est un logiciel que les pirates utilisent pour propager le virus du ransomware Locky sur votre SI.

QUI SE CACHE DERRIÈRE LES ATTAQUES?

Bien que des spéculations aient été faites, il n’y a pas encore une réponse définitive à cette question. Une chose est certaine, les campagnes de spam Locky présentent deux points communs avec les campagnes lancées par le cheval de Troie finqncié, Dridex. La première similarité est que les deux cyber-attaques utilisent des urgences financières comme prétexte. La seconde similitude est l’utilisation de macros dans les documents Word attachés. Est-ce une pure coïncidence? Nous n’en sommes pas sûrs encore.

COMMENT POUVEZ-VOUS VOUS PROTÉGEZ?

Ce que nous savons est que Reveelium peut vous aider à attraper les pirates et déterminer quels dispositifs ont été compromis par Locky. Comment est-ce possible? Bien que Locky utilise un cryptage lourd, il y a une fenêtre d’opportunité que vous pouvez profiter avec notre solution intelligente d’analyse comportementale, capable de détecter le malware avant son activation. Vous pouvez en savoir plus dans notre derniere article sur la façon dont vous pouvez éviter être dans une situation de prise d’otage avec Reveelium.

Ce que vous devrez retenir est que, sans effectuer une sauvegarde avant l’attaque, la récupération de vos données cryptées par Locky risque de ne pas se produire. Comme prévenir c’est mieux que guérir, vous pouvez maintenant empêcher la multiplication de cette nouvelle menace à l’aide de Reveelium, une solution développée par ITrust, qui permet de détecter les signaux faibles correspondant à des tentatives de connexion au centre de contrôle des logiciels malveillants. En même temps, notre scanner de vulnérabilité, IKare, permet en amont la non-propagation de Locky.

Page 3: Locky: le piratage de données frappe de nouveau @ITrustBlog

LES SOLUTIONS ITRUST

Reveelium a été développée dans le but du couvrir le décalage d’intelligence auquel les antivirus sont confrontés, ce qui baisse les temps de détection à 1 semaine (par rapport à la moyenne de 12 mois) et réduit les faux positifs de 95%. Il permet d’identifier les symptômes de tous les comportements malveillants grâce à son système automatisé de détection des anomalies, construit comme une technologie 3D comprenant: un moteur de détection des signaux faibles, qui est le fruit de recherches avancées en algorithmes statistiques et en intelligence artificielle. Ses résultats sont enrichis par un moteur de corrélation qui intègre des détecteurs spécialisés et des règles issues de l’expertise des ingénieurs et des consultants de sécurité d’ITrust. Le système s’appuie enfin sur une base de connaissance globale, la « mémoire » de Reveelium, qui fusionne les informations issues des différentes instances de Reveelium, afin de faire bénéficier chaque client de l’expérience des autres.

IKare est une solution de gestion des vulnérabilités qu’analyse les réseaux informatiques et détecte les équipements mal configurés, les défaillances ou faibles mots de passe et les applications non mises à jour. IKare aide aussi bien les petites que les grandes organisations à maintenir un environnement informatique sécurisé. Elle effectue les évaluations en continu afin de détecter les nouvelles vulnérabilités à temps, et permet d’accélérer l’atténuation ou la correction des risques.

Liens :

https://www.reveelium.com/fr/locky-data-hijackers-strike/

https://www.itrust.fr/locky-piratage-donnees

https://www.itrust.fr/locky-piratage-donnees
https://www.reveelium.com/fr/locky-data-hijackers-strike/

Piratage informatique

Retour expérience Agilité & Données fonction finances risques - Agile Tour Lille 2013

Enjeux Européens Et Mondiaux De La Protection Des Données Personnelles

Piratage informatique - epspmosta.files.wordpress.com€¦ · Le piratage informatique peut être défini comme l’accès à un système informatique sans autorisation. Il est généralement

Les 4 étapes clés pour transformer les données client en valeur

Big Data - Accès et traitement des données d’Observation de laTerre

Modification Modele Anti Piratage

Valoriser ses données: première étape vers l'automatisation du rescensement

Cultivez vos données en terrasses : un nouveau mode de distribution des données

Le piratage via Google [Read-Only] - Repository [Root Merepository.root-me.org/Exploitation - Web/FR - Le Piratage avec... · “robert masse” avec guillemets “ ” obtient seulement

Protéger ses données

Présentation Validy Technology Protection contre le piratage · Protection contre le piratage et le sabotage informatique. ... • Le pirate ne peut plus essayer d’apprendre en

De l’exception pédagogique au piratage

Augmenter sa crédibilité de partenaire d’affaires par l’utilisation de données probantes

6 stratégies pour migrer vos données dans AWS

(eBook - hack) (FR)Piratage, Hackers Linux & Windows

Bi et partage des données financières en libre -service

Importer des données dans Nuxeo Platform - Nuxeo Tour 2014 - workshop

PIRATAGE INFORMATIQUE ET DROITS D’AUTEUR

20141223 c2 d92 - open data - réutilisation des données - v1.7

Sécurité des données informatiques : notre solution Quick CSI

MATERIEL DE FRAPPEs4.e-monsite.com/2011/09/15/6841941catalogue-2-pdf.pdf · 54 55 g:;# c8 )&* f '(& materiel de frappe sacs de frappe cuir pro materiel de frappe sacs de frappe cuir

Ophélie popille ouverture des données publiques à nantes

Le Piratage Informatique - GitHub Pages

Piratage Twitter en cours : gazouillez en toute sûreté !

HAS - Journée des fabricants : Attentes de la CNEDiMTS en matière de données cliniques

Etude de cas piratage

Extraire et trier des données en ligne 2015

Réponses au piratage sur internet - CoE

#ET11 - A1-Nouvelles données pour l'observation

Le Piratage Avec Google

Classer et catégoriser pour mieux appréhender les données en éducation

Mesurer l'impact de vos actions grâce aux données - Connect In paris 080414

Comment gérer ses données de marketing digital dans un environnement multicanal

Du dépôt au partage de données