Pages

lundi 27 juin 2016

Le crypto-rançonneur Locky a repris du service

Et cette fois, l’information est disponible en français…

La panne de son réseau de distribution n’aura duré que trois semaines, son activité a repris le 21 juin 2016 sous une forme très agressive qui pour l’heure ne semble pas concerner la France, ou très peu.

De mon côté, j’ai reçu trois nouveaux spams de mon spammeur fou, les 21, 24 et 25 juin 2016, le troisième avec pièce jointe.


http://www.journaldunet.com/solutions/expert/64663/un-calme-revelateur—une-panne-du-botnet-necurs-entrave-la-diffusion-des-malwares-dridex-et-locky.shtml

Un calme révélateur : une panne du botnet Necurs entrave la diffusion des malwares Dridex et Locky




Depuis le 1er juin, nous avons constaté un quasi-arrêt des campagnes d’e-mails malveillants véhiculant les malwares Dridex et Locky. Dans le même temps, diverses sources ont documenté une panne du botnet Necurs, largement considéré comme l’un des plus étendus aujourd’hui.

Depuis le 1er juin, les chercheurs de Proofpoint constatent un quasi-arrêt des campagnes d’e-mails malveillants véhiculant les malwares Dridex et Locky. Ces campagnes ont constamment fait partie des plus vastes jamais observées, avec des volumes atteignant des centaines de millions de messages chez nos clients. Dans le même temps, diverses sources[1] ont documenté une panne majeure du botnet Necurs, largement considéré comme l’un des plus étendus opérant aujourd’hui. Cela est venu confirmer nos soupçons quant à l’utilisation du botnet Necurs pour la diffusion du ransomware Locky et des chevaux de Troie bancaires Dridex dans le cadre de campagnes massives de spam.

La Figure 1 illustre les volumes relatifs typiques d’envois d’e-mails malveillants diffusant le ransomware Locky par pays avant la panne du 1er juin, dont nous pensons que la majorité a été propagée via le botnet Necurs. Cette carte est à rapprocher de celle représentant les infections mondiales de Necurs, publiée par Anubis[1].

Le crypto-rançonneur Locky a repris du service dans Crime 20577
Figure 1 – Volumes relatifs d’e-mails malveillants envoyés par pays dans le cadre des campagnes récentes de diffusion de Locky.

Necurs est un vaste botnet, un réseau d’ordinateurs « zombies » infectés par le rootkit Necurs. Les botnets peuvent être utilisés pour diverses menaces, que ce soit l’envoi de spam ou le lancement d’attaques par déni de service distribué (DDoS). Necurs a dernièrement été classé comme botnet hybride peer-to-peer (P2P). Les botnets P2P permettent une communication limitée entre les ordinateurs zombies et les nœuds faisant office de serveurs distribués de commande et de contrôle (C&C). Necurs emploie un algorithme de génération de domaine (DGA) permettant aux nœuds et aux zombies de trouver un autre C&C en cas d’indisponibilité du serveur actuel. Des données issues de diverses sources indiquent que les robots Necurs recherchent activement un nouveau C&C mais rien ne prouve que le maître du botnet ait réussi à en reprendre le contrôle.

La Figure 2 représente l’évolution dans le temps du nombre d’adresses IP envoyant des e-mails accompagnés de pièces jointes malveillantes et appartenant probablement, pour la plupart d’entre elles, au botnet Necurs. Le graphique fait apparaître des niveaux très élevés d’activité du botnet jusqu’au 1er juin, date à laquelle ce dernier s’est arrêté, tout comme les campagnes associées d’e‑mails malveillants. La Figure 3 indique les volumes d’e-mails malveillants reçus par nos clients sur la même période, révélant une direction et des périodes d’inactivité très similaires. Les zones grisées correspondent aux week-ends, où l’activité relevée est généralement faible voire nulle.

20578 dans Folie
Figure 2 – Évolution dans le temps du nombre d’adresses IP envoyant des pièces jointes malveillantes (probablement via le botnet Necurs)
 
20579 dans LCR - NPA
Figure 3 – Evolution dans le temps du volumes de messages contenant des pièces jointes malveillantes


Un examen des adresses IP distinctes envoyant à nos clients des e-mails accompagnés de pièces jointes malveillantes sur une période de quatre semaines indique un fort ralentissement de cette activité à partir du 1er juin, cette date correspondant à l’annonce de la panne du botnet Necurs. Il semble également que les jours précédents, marqués par une faible activité d’e-mails malveillants, correspondent à ceux où le botnet était inopérant. Ces baisses de volume des campagnes Dridex et Locky, visibles dans la partie droite de la Figure 4, coïncident avec des pannes apparentes de Necurs, dont l’activité est représentée dans la partie gauche. En moyenne, nous avons enregistré un ratio d’environ 50 messages par adresse IP.

20580 dans Luraghi
Figure 4 – Nombre d’adresses IP envoyant des pièces jointes malveillantes (à gauche) comparé aux volumes d’e-mails malveillants détectés parmi la clientèle de Proofpoint. A noter la différence d’échelle entre les parties gauche et droite du graphique, le ratio étant en moyenne de 50 messages par adresse IP.

Comme l’ont signalé nos collègues d’Anubis Networks le 1er juin[1], les robots paraissent avoir commencé à rechercher un nouveau serveur C&C à cette date, comme le montrent des pics substantiels dans le « sinkhole » Necurs mis en place par Anubis. Pour les botnets P2P en général, le rétablissement des connexions entre les PC infectés et une nouvelle infrastructure C&C est un processus graduel à mesure que les informations correspondantes se propagent. [1] Source


http://www.generation-nt.com/necurs-botnet-locky-ransomware-actualite-1930335.html

Necurs reprend vie avec une variante du ransomware Locky


Le vendredi 24 Juin 2016 à 12:30 par Jérôme G.

Botnet

Après une panne de plusieurs semaines, le botnet Necurs est de nouveau à l’ouvrage et diffuse une version mise à jour du ransomware Locky.

La panne de près d’un mois de Necurs demeure un mystère. Elle a en tout cas permis une accalmie des campagnes de spam servant à distribuer le ransomware Locky et le cheval de Troie bancaire Dridex. Hélas… Necurs n’est pas mort comme on pouvait le redouter.

Les cybercriminels derrière Necurs ont commencé en début de semaine à diffuser de nouvelles campagnes de spam. Une première reprise d’activité depuis le 31 mai sans néanmoins le plein potentiel du botnet qui contrôlerait quelque 6,1 millions de machines infectées.

Proofpoint estime que les volumes d’emails non sollicités sont à seulement 10 % de ceux observés avant la panne de Necurs. Une montée en puissance est toutefois déjà observée avec de l’ordre de 100 millions d’emails par jour.

Autre mauvaise nouvelle, le retour aux affaires de Necurs se fait avec une variante de Locky qui introduit de nouvelles techniques anti-sandboxing et pour complexifier les analyses. Notamment, elle peut détecter si une exécution a lieu ou pas dans une machine virtuelle, et les attaquants peuvent reloger le code de Locky en mémoire.

Necurs-Locky

La reprise pour Locky se fait via des emails de spam avec en pièce jointe une archive au format zip contenant du code JavaScript.


http://www.silicon.fr/ransomware-locky-reprend-du-service-151416.html

Ransomware : Locky reprend du service




Après quelques semaines d’inactivité, le ransomware Locky revient renforcé avec des outils d’anti-détection.

Il s’était fait discret ces dernières semaines. Ce n’était que pour mieux ressurgir. Le ransomware Locky profite d’une nouvelle campagne de spam pour tenter d’élargir toujours plus le nombre de ses victimes. « Le Dynamic Threat Intelligence Intelligence (DTI) de FireEye a identifié une augmentation de JavaScript contenu dans les e-mails de spam, indique la société de sécurité. Les analystes de FireEye ont déterminé que cette croissance était le résultat d’une nouvelle campagne de spam du ransomware Locky. »

Après un déclin d’activité amorcé mi mai et une mise en sommeil quasi-totale depuis le 1er juin, au point que l’on aurait pu croire à la disparition de l’un des rançongiciels les plus efficaces, Locky a soudainement repris du service ces derniers jours. Au point de retrouver un taux de distribution aussi élevé que sur le reste de l’année 2016.

La France peu touchée pour l’heure


Le Japon est le premier pays touché par cette nouvelle campagne. Entre le 21 et le 23 juin, la zone a reçu près de 45% des courriels embarquant le malware. Suivi des Etats-Unis (17,65%) et de la Corée du Sud (17,17%). Avec 1,13% des envois, l’Allemagne s’inscrit comme le pays le moins touché des 10 premières régions surveillées par FireEye. Et la France a la chance de ne pas y figurer alors qu’elle constituait, en avril dernier, l’une des principales cibles de l’agent malveillant. Rappelons que, si ce dernier est exécuté, il se met à chiffrer les données du disque local et réseaux, voire les périphériques de stockage connectés. Seule le paiement d’une rançon permettra de les retrouver (sauf à les avoir précédemment sauvegardées).

En regard de l’actuelle campagne de spam, Locky se dissimule dans un fichier ZIP présenté comme une facture (d’une vague commande livrée en retard) joint à l’e-mail infectieux. Mais « au lieu d’une facture, l’archive ZIP contient un chargeur Locky écrit en JavaScript », détaille FireEye. Et les auteurs de Locky ont pris le temps d’améliorer leur code pour contrer les fonctions de détection et les tests de simulation réalisés dans le bac-à-sable pour multiplier les chances d’infection. Certains éditeurs d’anti-virus, dont BitDefender, avaient en effet développé des outils gratuits pour bloquer Locky. Et Microsoft avait décidé de bloquer par défaut les macros d’Office 2016 pour contrer les ransomwares. « A ce jour, la campagne de spam Locky est toujours en cours, avec l’ajout d’une technique anti-analyse / anti bac à sable, conclut l’expert en sécurité. Nous nous attendons à d’autres campagnes de spam Locky. » Le recensement des victimes devrait suivre rapidement.



Lire également
 
Les ransomwares s’engouffrent dans la faille zero day de Flash
Ransomware Locky : l’AFP touchée, son RSSI témoigne
Le ransomware Locky mute pour multiplier ses victimes en France

Aucun commentaire:

Enregistrer un commentaire