Locky Ransomware : protégez-vous contre les menaces par e-mail

Blog

Découvrez comment fonctionne le ransomware Locky, ses variantes et les mesures essentielles à prendre pour prévenir l'infection, le supprimer en toute sécurité et sécuriser vos systèmes.

par AyanBhuiya

Temps de lecture : 8 min
Locky Ransomware : protégez-vous contre les menaces par e-mail
Table des matières-

Points clés à retenir

  • Le ransomware Locky se propage par le biais d'e-mails malveillants, chiffre les fichiers de la victime et exige des bitcoins pour les récupérer. De nouvelles variantes continuent aujourd'hui de menacer les organisations.
  • Les protocoles d'authentification des e-mails tels que DMARC, SPF et DKIM peuvent bloquer les spams frauduleux avant qu'ils n'atteignent votre boîte de réception.
  • La prévention grâce à une sécurité renforcée des e-mails et à la formation des utilisateurs est la seule défense fiable contre Locky, car la plupart des variantes ne disposent pas de décrypteurs publics.

Le ransomware Locky est apparu en 2016 et est rapidement devenu une menace majeure. Il chiffrait les fichiers sur l'ordinateur de la victime, puis exigeait un paiement en bitcoins pour les déverrouiller. Même si Locky a presque dix ans, il est toujours important de comprendre son fonctionnement. Des variantes existent encore, d'anciennes infections peuvent rester présentes sur les systèmes et les techniques de phishing qu'il a introduites sont toujours utilisées par les groupes de ransomware actuels.

Ce qui rend Locky particulièrement dangereux, c'est son lien avec le groupe cybercriminel à l'origine du cheval de Troie bancaire Dridex (également connu sous le nom d'Evil Corp ou TA505) et sa distribution massive via le botnet Necurs. À son apogée, le ransomware Locky a infecté des milliers d'organisations à travers le monde, causant d'importantes pertes de données et des perturbations pour les hôpitaux, les banques et les petites entreprises.

Même si le paysage de la sécurité des e-mails a évolué de nos jours, les tactiques utilisées par Locky, notamment les adresses d'expéditeur falsifiées, les pièces jointes malveillantes et l'ingénierie sociale, restent fondamentales dans les attaques par ransomware. Une sécurité solide des e-mails contrôles de sécurité des e-mails et des protocoles d'authentification solides constituent des défenses de première ligne essentielles contre ces menaces.

Qu'est-ce que le ransomware Locky ?

Locky ransomware est un type de crypto-ransomware qui chiffre les fichiers sur les systèmes infectés, les rendant inaccessibles jusqu'à ce qu'une rançon soit payée. Contrairement aux logiciels malveillants qui volent des données, Locky se concentre uniquement sur le chiffrement des fichiers, utilisant des algorithmes cryptographiques puissants pour verrouiller les documents, les images, les bases de données et les sauvegardes.

Une fois le chiffrement terminé, Locky exige un paiement en bitcoins, généralement compris entre 0,5 et 1 BTC, et fournit un portail de paiement basé sur Tor où les victimes peuvent soi-disant acheter des clés de déchiffrement. Cependant, le paiement de la rançon n'offre aucune garantie de récupération des fichiers, et les experts en sécurité le déconseillent unanimement.

Les organismes de santé figuraient parmi les principales cibles de Locky, les hôpitaux, les cabinets médicaux et les systèmes de santé ayant subi des perturbations critiques. Parmi les cas notables, citons le Hollywood Presbyterian Medical Center, qui a payé 17 000 dollars en bitcoins après avoir été infecté par Locky en février 2016. Le ransomware ne fait aucune distinction entre les organisations en fonction de leur taille, les petites entreprises disposant de ressources limitées en matière de cybersécurité s'étant révélées tout aussi vulnérables que les grandes entreprises.

Locky utilise plusieurs techniques d'évasion sophistiquées, notamment des charges utiles JavaScript obscurcies, des adresses de serveurs de commande et de contrôle dynamiques et des versions variantes rapides pour contourner la détection basée sur les signatures. Ces méthodes lui ont permis de rester efficace même lorsque les fournisseurs de solutions de sécurité ont mis à jour leurs défenses.

Variantes importantes

Locky a rapidement donné naissance à de nombreuses variantes, chacune conçue pour éviter la détection et atteindre davantage de victimes. Ces versions sont principalement identifiées par les extensions de fichiers qu'elles laissent derrière elles :

  • .locky – Variante originale lancée en février 2016
  • .zepto – Sortie en juin 2016 avec des fonctionnalités anti-analyse améliorées
  • .odin – Variante d'octobre 2016 utilisant le cryptage RSA et AES
  • .thor – Novembre 2016 avec obscurcissement amélioré
  • .osiris – Décembre 2016 avec mise à jour de l'infrastructure C2
  • .aesir – Variante début 2017 avec des routines de chiffrement plus rapides
  • .lukitus – Variante Resurgence 2017 diffusée via de fausses factures

Chaque variante introduisait des modifications subtiles afin d'échapper à la détection des antivirus basés sur les signatures, tout en conservant les mécanismes d'infection et de chiffrement fondamentaux. Le cycle de publication rapide (parfois hebdomadaire) rendait difficile pour les éditeurs de solutions de sécurité de suivre le rythme des nouveaux échantillons.

Comment fonctionne le ransomware Locky ?

cycle-de-vie-de-l'infection-lockys

Comprendre le cycle de vie de l'infection Locky aide les organisations à mettre en place des défenses efficaces à chaque étape de la chaîne d'attaque.

1. Livraison

Locky arrive via des campagnes massives de spam malveillant conçues pour ressembler à des communications commerciales légitimes. Ces e-mails se font passer pour des factures, des notifications de paiement, des accusés de réception ou des confirmations de commande provenant de marques connues.

Les pièces jointes comprennent généralement des documents Word (.doc, .docm), des feuilles de calcul Excel (.xls, .xlsm) ou des archives ZIP contenant des fichiers JavaScript (.js) ou Visual Basic Script (.vbs). Le botnet Necurs a distribué des millions de ces e-mails au plus fort de l'activité de Locky. Les chercheurs en sécurité ont observé des campagnes atteignant des centaines de millions de messages, submergeant les les filtres anti-spam par leur volume considérable.

Les pirates ont utilisé l'usurpation d'adresse e-mail pour falsifier l'adresse de l'expéditeur, donnant ainsi l'impression que les messages provenaient de contacts de confiance. Sans protocoles d'authentification des e-mails appropriés tels queSPF, DKIM et DMARC, les destinataires n'avaient aucun moyen fiable de vérifier l'authenticité des messages.

2. Activation des macros

Lorsque les victimes ouvrent le fichier malveillant, elles voient un texte illisible et un message leur demandant d' « Activer les macros pour afficher le contenu » ou « Activer la modification pour afficher le document ».

Cette technique d'ingénierie sociale exploite la confiance des utilisateurs et leur désir de consulter ce qui semble être des informations professionnelles importantes. Microsoft Office désactive les macros par défaut pour des raisons de sécurité, mais les opérateurs de Locky ont conçu des leurres convaincants pour inciter les utilisateurs à les activer manuellement.

Dès que les macros sont activées, les scripts intégrés s'exécutent silencieusement en arrière-plan (souvent en quelques millisecondes) avant que les utilisateurs ne se rendent compte que quelque chose ne va pas.

3. Téléchargement de logiciels malveillants

Lorsque les macros sont activées, le script se connecte à un serveur de commande et de contrôle (C2) et télécharge le véritable ransomware Locky. Cette méthode en deux étapes aide les pirates à éviter la détection, car la pièce jointe du courriel ne contient qu'un petit téléchargeur, et non le ransomware complet.

Les adresses des serveurs C2 changent souvent, parfois toutes les heures, ce qui rend difficile leur blocage par les outils de sécurité. Les développeurs de Locky ont utilisé des algorithmes de génération de domaines (DGA) pour créer des centaines de domaines C2 potentiels, garantissant ainsi que même si certains étaient bloqués, d'autres restaient accessibles.

4. Cryptage

Après le téléchargement, Locky commence immédiatement à chiffrer les fichiers à l'aide d'une combinaison de RSA-2048 (pour le chiffrement des clés) et AES-128 (pour le chiffrement des fichiers). Cette approche hybride garantit que les fichiers ne peuvent pas être déchiffrés sans la clé privée de l'attaquant.

Locky cible divers types de fichiers, notamment les documents (.doc, .pdf, .txt), les images (.jpg, .png), les bases de données (.sql, .mdb), le code source (.php, .java) et les sauvegardes (.bak). Il chiffre non seulement les disques locaux, mais aussi les partages réseau mappés et les périphériques de stockage externes connectés.

Une fois cryptés, les fichiers sont renommés avec des identifiants uniques et des extensions spécifiques à chaque variante. Par exemple, document.docx peut devenir A4B2C8D1-E5F6-7890-1234-56789ABCDEF0.locky, ce qui rend impossible l'identification des noms de fichiers d'origine sans la clé de déchiffrement.

5. Demande de rançon

Une fois le chiffrement terminé, Locky affiche sa demande de rançon à plusieurs endroits : sous forme de fichiers texte nommés _Locky_recover_instructions.txt dans chaque dossier affecté et sous forme de fond d'écran. La note contient des instructions pour accéder à un portail de paiement basé sur Tor où les victimes peuvent soi-disant acheter des clés de décryptage.

La page de paiement affiche généralement un compte à rebours, souvent de 72 heures, et avertit que le prix augmentera ou que les fichiers risquent d'être perdus si la victime attend trop longtemps. Cela crée un faux sentiment d'urgence et pousse les gens à payer avant d'obtenir l'aide d'experts en sécurité.

Comment prévenir le ransomware Locky

La prévention est la seule défense fiable contre Locky. La plupart des variantes ne disposent pas de décrypteurs publics, ce qui signifie que les fichiers cryptés sont définitivement perdus sans sauvegarde ou paiement de la rançon.

Il est difficile de détecter Locky à un stade précoce, car les versions les plus récentes s'exécutent rapidement et masquent leur code afin d'échapper aux outils de détection traditionnels. Il est donc beaucoup plus important de prévenir son apparition que d'essayer de le détecter une fois qu'il est déjà en cours d'exécution.

prévention-du-ransomware-locky

Voici les mesures de prévention essentielles :

  • Mettez en place des protocoles d'authentification des e-mails : Déployez SPF, DKIM et DMARC pour bloquer les spams frauduleux avant qu'ils n'atteignent les boîtes de réception. PowerDMARC fournit une configuration automatisée, des rapports lisibles par l'homme et des alertes de menace en temps réel pour rendre l'authentification accessible aux organisations de toute taille.
  • Activez le filtrage avancé des spams: Utilisez des passerelles de messagerie sécurisées avec sandboxing des pièces jointes, réécriture des liens et analyse comportementale pour détecter les e-mails malveillants qui contournent les contrôles d'authentification.
  • Désactiver les macros par défaut : Configurez Microsoft Office pour désactiver les macros dans les fichiers provenant d'Internet et exiger des signatures numériques pour les macros fiables.
  • Effectuez régulièrement les mises à jour : Maintenez les systèmes d'exploitation, les applications et les logiciels de sécurité à jour avec les dernières mises à jour afin de corriger les vulnérabilités connues.
  • Sensibilisez votre personnel au phishing : Organisez régulièrement des formations sur la sécurité afin que les employés apprennent à repérer les e-mails suspects, à éviter les pièces jointes inattendues et à ne jamais activer les macros dans les documents qu'ils n'attendaient pas.
  • Conservez des sauvegardes hors ligne : Effectuez régulièrement des sauvegardes hors ligne des données critiques en suivant la règle 3-2-1 (trois copies, deux types de supports, une hors site).
  • Déployez une protection des terminaux : Utilisez des solutions anti-malware réputées dotées de capacités d'analyse comportementale, de détection spécifique des ransomwares et de correction automatique.

Locky est essentiellement un vecteur d'attaque par e-mail. Les organisations qui mettent en œuvre une authentification forte des e-mails à l'aide d'outils tels que DMARC Checker de PowerDMARC DMARC Checker, SPF Checkeret DKIM Checker peuvent valider leur configuration d'authentification et réduire considérablement leur exposition aux campagnes de malspam usurpées.

Comment supprimer Locky si vous êtes déjà infecté

Si vous soupçonnez une infection par Locky, une action immédiate peut empêcher d'autres dommages et empêcher sa propagation à d'autres appareils. Suivez attentivement ces étapes :

  1. Isolez immédiatement le système infecté :déconnectez-le du réseau (débranchez le câble Ethernet et désactivez le Wi-Fi) afin d'empêcher Locky d'atteindre les disques partagés ou de se propager à d'autres appareils.
  2. Déconnectez les périphériques de stockage externes : Retirez toutes les clés USB, tous les disques durs externes et tous les partages réseau mappés afin de protéger les données de sauvegarde contre le chiffrement.
  3. Utilisez un appareil propre pour les outils de récupération :téléchargez un logiciel anti-malware réputé (Malwarebytes, Kaspersky Rescue Disk ou similaire) à partir d'un ordinateur non infecté et transférez-le via une clé USB propre.
  4. Démarrer en mode sans échec :redémarrez le système infecté en mode sans échec avec réseau afin d'empêcher Locky de se charger au démarrage.
  5. Effectuez une analyse complète du système :exécutez des analyses anti-malware complètes pour détecter et supprimer les exécutables, les processus et les entrées de registre Locky.
  6. Ne payez pas la rançon :le paiement des rançons finance les activités criminelles et n'offre aucune garantie de récupération des fichiers. De nombreuses victimes qui ont payé n'ont jamais reçu de clés de déchiffrement fonctionnelles.

Précision importante : La suppression de Locky empêche tout nouveau chiffrement et évite la propagation à d'autres systèmes, mais il ne décrypte pas les fichiers déjà cryptés. La récupération des fichiers nécessite soit des sauvegardes sécurisées, soit la clé de décryptage privée de l'attaquant (qui est rarement fournie, même après paiement).

Comment restaurer vos systèmes après une attaque Locky

La restauration du système après une attaque Locky dépend entièrement de la disponibilité de sauvegardes sécurisées et vérifiées. La plupart des variantes de Locky utilisent un cryptage inviolable. Dans ce cas, sans sauvegarde, les fichiers cryptés sont définitivement perdus.

restaurer-votre-système-après-une-attaque-locky

Les organisations doivent suivre un processus de récupération structuré pour se remettre d'une attaque par ransomware:

  1. Vérifiez l'intégrité des sauvegardes : Avant de restaurer, vérifiez que les sauvegardes sont complètes, intactes et exemptes de ransomware (testez d'abord la restauration sur un système isolé).
  2. Restauration à partir de sauvegardes hors ligne : Utilisez la sauvegarde propre la plus récente effectuée avant l'infection. Donnez la priorité aux données et aux systèmes critiques.
  3. Reconstruisez les machines compromises : Pour les systèmes fortement infectés, une réinstallation complète du système d'exploitation peut être plus sûre que de tenter de nettoyer les installations existantes.
  4. Réinitialisez toutes les informations d'identification : Modifiez les mots de passe de tous les comptes utilisateurs, comptes de service et identifiants administratifs. Vérifiez s'il y a eu des tentatives d'accès non autorisées ou des indicateurs de mouvement latéral.
  5. Mettez en œuvre des politiques de sécurité renforcées : Avant de remettre les systèmes en ligne, renforcez les défenses afin d'éviter toute réinfection. Cela inclut l'authentification des e-mails, la protection des terminaux et la segmentation du réseau.
  6. Auditer la sécurité des e-mails : Examinez et améliorez les contrôles d'authentification des e-mails. Assurez-vous que SPF, DKIM et DMARC sont correctement configurés afin d'empêcher les spams frauduleux d'atteindre à nouveau les utilisateurs.

La grande majorité des variantes de Locky ne disposent d'aucun décrypteur public. Les chercheurs en sécurité publient parfois des outils de décryptage gratuits pour les anciennes souches de ransomware, mais le cryptage de Locky reste inviolable pour la plupart des variantes. Les stratégies de prévention et de sauvegarde constituent les seules défenses fiables.

Feuille de route de Locky pour une meilleure sécurité

Le ransomware Locky reste un exemple important pour comprendre comment les ransomwares ont évolué et pourquoi une sécurité multicouche est essentielle. Les grandes épidémies de Locky ont disparu depuis 2017, mais les tactiques qu'il a introduites, telles que la distribution massive de malspam, l'ingénierie sociale via des documents contenant des macros et le chiffrement agressif des fichiers, continuent d'influencer les familles de ransomwares modernes.

La leçon fondamentale à tirer de Locky est claire : la prévention grâce à une sécurité robuste des e-mails combinée à la vigilance des utilisateurs constitue votre meilleure défense. Les organisations ne peuvent pas compter sur la détection des ransomwares après l'infection, car à ce stade, les fichiers critiques peuvent déjà être cryptés.

Les outils de sécurité actuels sont beaucoup plus efficaces pour bloquer les attaques par e-mail. Une configuration correcte des protocoles DMARC, SPF et DKIM permet de bloquer les e-mails frauduleux utilisés pour diffuser des ransomwares tels que Locky. Les informations sur les menaces basées sur l'IA, la détection basée sur le comportement et une protection solide des terminaux ajoutent encore plus de niveaux de défense.

PowerDMARC aide les organisations à mettre en place cette première ligne de défense essentielle grâce à la mise en œuvre automatisée du protocole DMARC, à des alertes en temps réel sur les menaces et à l'assistance d'experts. Notre plateforme rend l'authentification des e-mails accessible aux entreprises de toutes tailles, les protégeant ainsi contre l'usurpation d'identité, les e-mails de phishinget aux ransomwares avant que les menaces n'atteignent les boîtes de réception de vos utilisateurs.

Réservez une démonstration DMARC pour découvrir comment PowerDMARC peut protéger vos domaines contre les ransomwares et autres menaces liées aux e-mails.

Foire aux questions (FAQ)

Comment décrypter le ransomware Locky ?

La plupart des variantes de Locky utilisent un cryptage RSA-2048 inviolable pour lequel aucun décrypteur public n'est disponible. La seule méthode de récupération fiable consiste à restaurer à partir de sauvegardes propres et hors ligne.

Comment le ransomware Locky se propage-t-il sur un appareil ?

Locky se propage lorsque les utilisateurs ouvrent des pièces jointes malveillantes et activent les macros, ce qui télécharge le fichier exécutable du ransomware qui chiffre les fichiers sur les disques locaux et les partages réseau accessibles.

Comment reconnaître et éviter les attaques par ransomware ?

Soyez prudent avec les e-mails contenant des pièces jointes inattendues, telles que des factures surprises ou des demandes de paiement, et n'activez jamais les macros dans des documents que vous n'attendiez pas. Vérifiez toujours que l'expéditeur est réel et utilisez des des e-mails cryptés chaque fois que vous le pouvez.

Derniers messages de Ayan Bhuiya (voir tous)
Les meilleurs CRM pour le marketing par e-mail : des outils pour améliorer la délivrabilité, la sécurité et...CRM-marketing par e-mailQu'est-ce que le phishing IA ? Guide sur les cybermenaces émergentesQu'est-ce que le phishing IA ? Guide sur les cybermenaces émergentes