Des vagues historiques détectées et bloquées depuis le mois de février :

En période « normale », la solution de filtrage des emails dans le Cloud de Vade Retro (Vade Retro Cloud) détecte en moyenne 25 000 malwares par jour. Depuis le 19 février, la solution a détecté plusieurs vagues extraordinaires d’attaques de ransomwares Locky.

La première vague significative a été détectée le 19 février, avec 161 168 Locky arrêtés sur Vade Retro Cloud.

S’en sont suivies des vagues régulières d’attaques avec des pics très importants le 1er mars, 835 000 Locky arrêtés, 654 000 le 7 mars, ou encore 807 000 le 8 mars.

La semaine dernière a été particulièrement dense en termes d’attaques Locky. Vade Retro a ainsi bloqué (via sa solution Vade Retro Cloud) 1,2 million de Locky le 14 mars, soit la vague la plus importante, et plus de 500 000 Locky trois jours consécutifs, les 16, 17 et 18 mars.

Un mode de propagation classique, utilisé par exemple pour le malware Dridex en 2015

Locky a pour but d’extorquer de l’argent aux utilisateurs infectés. Le mode de propagation est classique mais les cybercriminels ciblent un très large périmètre d’utilisateurs pour assurer à leurs attaques un taux de réussite important. Il n’est pas rare que dans une même entreprise, plusieurs employés aient installé le malware après avoir ouvert la pièce jointe.

Tout comme le malware Dridex et la majorité des attaques de malwares, l’attaque débute par un email de phishing contenant une pièce jointe vérolée (document Microsoft Office, archives .zip, etc.) qui à l’ouverture télécharge le malware sur le poste utilisateur. Une fois téléchargé celui-ci chiffre tous les fichiers de l’utilisateur ou de l’entreprise pour les rendre inutilisables. La victime est ainsi invitée à payer une rançon généralement par bitcoin pour retrouver la possession de ses données et éviter la leur destruction.

Pour optimiser les chances d’ouverture des pièces jointes, les cybercriminels travaillent de mieux en mieux le contenu des emails de phishing. Ceux-ci utilisent généralement l’image d’une entreprise ou d’un organisme connu, un opérateur téléphonique, une banque, un organisme public, etc.

Georges Lotigier, PDG de Vade Retro alerte : « Avant de rappeler les règles de protection de base contre les phishing et malwares, il est important d’alerter les victimes sur le fait que payer une rançon ne signifie pas que les cybercriminels accepteront de libérer les données de leur cryptage, et que les données n’ont pas déjà été vendues. De plus, chez Vade Retro nous rappelons à nos clients l’importance de protéger son domaine de messagerie contre l’usurpation (protocoles SPF, DKIM, DMARC) et de renforcer la sécurité des emails entrants dans un contexte de cyber-menaces très importantes ».

Vade Retro tempère finalement sur la menace Locky

Bien que diffusé très largement, Locky utilise un mode de propagation connu, déjà utilisé par exemple par le malware Dridex qui a beaucoup fait parler de lui en 2015 avec notamment un pic fort en juillet 2015. C’est une des raisons pour laquelle Vade Retro a pu facilement bloquer le malware dès le premier exemplaire tentant d’entrer dans les boîtes de réception de ses clients.

Vade Retro rappelle un certain nombre de précautions à prendre pour se prémunir de ce type d’attaques :

Les emails transportant des malwares se présentent sous la forme de messages avec des pièces jointes. Il est très important de redoubler de vigilance lors de l’ouverture de ces pièces jointes, en particulier lorsque l’utilisateur est inconnu. Quelques règles de bases sur les ransomwares et le phishing :

– La double sauvegarde des données reste le principal moyen de se prémunir d’une attaque de ransomware/cryptolocker puisqu’il est important de rappeler que payer une rançon signifie rarement récupérer ses données.

– N’ouvrir les pièces jointes (fichiers .zip, .xls ou .doc.) que si l’expéditeur est confirmé. A l’ouverture d’un fichier malveillant, l’ordinateur est aussitôt infecté.

– Supprimer le message d’un expéditeur suspect inconnu sans y répondre.

– Refuser de confirmer l’accusé de réception dans le cas d’un expéditeur inconnu suspect. Confirmer l’accusé de réception risque de valider et diffuser l’adresse email de l’utilisateur à son insu.

– Remonter les emails identifiés comme spam auprès du service informatique de l’entreprise puis à l’entreprise chargée de la protection des boîtes de messagerie pour une prise en compte dans la technologie de filtrage.