Pages

mardi 29 mars 2016

Locky et Dridex en forme après le week-end pascal


Certains professionnels s’y attendaient :


http://www.infodsi.com/articles/162032/rancongiciel-locky-botnet-dridex-respecteront-treve-paques.html

Le rançongiciel Locky et le botnet Dridex respecteront-ils la trêve de Pâques ?


samedi 26 mars 2016

Le rançonlogiciel Locky devrait ralentir sa distribution d’e-mail d’hameçonnage pendant le weekend de Pâques. Il pourrait en effet bien se voir poser un lapin – mais rien à voir avec la chasse aux œufs !

Les analystes spécialistes des logiciels malveillants d’Avira pensent que le botnet disséminant le rançongiciel Locky pourrait bien en effet marquer une pause et ne pas envoyer d’e-mails d’hameçonnage en Europe le lundi de Pâques, jour férié qui tombe ce 28 mars.

Si cela se produit, l’étendue du ralentissement observé témoignera de la capacité des opérateurs du botnet à ajuster le rayonnement de leurs actions en fonction des jours fériés régionaux. Le lundi 28 mars sera férié dans la plupart des pays européens et donc chômé par la quasi-totalité des entreprises et administrations. Ce n’est cependant pas un jour férié aux États-Unis.

La stratégie opérationnelle du rançongiciel Locky consiste à déployer de nouveaux vecteurs d’attaque et de nouvelles variantes au début de chaque semaine. De cette manière, les e-mails d’hameçonnage gagnent les entreprises au retour du week-end, lorsque les employés tentent d’écumer rapidement leurs e-mails et avant que les informations relatives aux dernières attaques ne soient divulguées par les médias. Ainsi, l’analyse des tentatives d’hameçonnage interceptées pour la semaine du 7 mars met en évidence le point de départ d’une vague de distribution de Locky le lundi 7 précisément.

« Nous nous attendons à un nombre réduit de tentatives d’hameçonnage par Locky ce lundi, avec une forte hausse dès le lendemain, mardi 29. L’écart observé nous permettra de déterminer précisément la capacité du botnet à adapter sa stratégie de propagation », précise Oscar Anduiza, analyste en logiciel malveillant chez Avira. « Mais même si la propagation ralentit, nous ne nous attendons pas à ce que les ténors du logiciel malveillant prennent congé le week-end – nous devrions découvrir leurs nouvelles tromperies 24 heures plus tard, le mardi. Quoi qu’il en soit, Avira reste sur le pied de guerre. Et les utilisateurs doivent se garder de cliquer sur des e-mails étranges juste parce qu’ils sont en week-end. »

Le rançongiciel Locky a fait irruption au début de l’année. Il a généralement ciblé des entreprises et organisations, envoyant des e-mails imitant des factures d’entreprises légitimes, la plupart du temps à grand renfort d’informations bien renseignées. Après ouverture de cette pièce jointe, les fichiers personnels de l’ordinateur cible sont chiffrés et leurs extensions changées en « locky ». La rançon exigée pour le déchiffrement des fichiers s’est jusqu’à présent élevée de 0,5 bitcoins (175 euros) à 15 000 euros pour un hôpital aux États-Unis.

Locky est distribué par le biais du botnet Dridex. Bien que ce dernier ait jusqu’alors principalement été mis en cause dans la distribution de chevaux de Troie bancaires, il semble désormais cibler le secteur plus lucratif des rançongiciels.

Aucun commentaire:

Enregistrer un commentaire