Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Forcepoint Security Labs : Les nombreuses évolutions de Locky

décembre 2016 par Forcepoint Security Labs

Détecté pour la première fois en février 2016, le crypto-ransomware Locky a mué en menace dangereuse visant les grandes organisations tout comme les utilisateurs privés. Un blog du Forcepoint Security Labs décrit Locky et revient sur des étapes significatives de son parcours.

Qu’est-ce que Locky ?

Locky est un « rançongiciel » qui tente d’infecter des machines et chiffrer des données sensibles pour ensuite demander une rançon contre le déchiffrement des fichiers.
Les acteurs Locky visent à réaliser des gains financiers importants auprès des utilisateurs extorqués. Plusieurs acteurs « affiliés » utilisent et distribuent des formes uniques de Locky.

Méthodes de déploiement

Locky est devenu un fléau quasi quotidien pour les utilisateurs depuis février 2016. Sa distribution est assurée par l’utilisation de « exploit kits » et des messageries. Les dénommés Neutrino, RIG et Nuclear (maintenant disparu) ont tous distribué Locky de manière sporadique tout au long de l’année 2016. Le botnet Necurs est le principal auteur des courriers indésirables provoquant des infections Locky, généralement par le biais d’un fichier Microsoft Office infecté ou un fichier ZIP contenant un script malveillant.

Les affiliés Locky se sont servis de différents types de fichier pour produire une infection Locky :
• Microsoft Office (".doc", ".docx", ".xls" etc.) utilising Visual Basic for Applications (VBA)
• JScript (".js")
• JScript Encoded (".jse")
• VBScript (".vbs")
• Windows Script File (".wsf")
• Compiled HTML (".chm")
• HTML Application (".hta")
• Link Shortcut (".lnk")
• Windows Executable (".exe")
• Windows Dynamic Link Library (".dll")
• Windows Powershell

L’algorithme de chiffrement sécurisé

Locky se sert du chiffrement AES 128-bit pour rapidement chiffrer les fichiers, puis de RSA2048-bit pour protéger la clé de chiffrement.

Les fichiers verrouillés portent en général l’extension ".locky" mais on constate également de nouvelles variantes, notamment ".zepto", ".odin", ".thor", ".zzzzz" et ".aesir". En juillet 2016 une mise à jour a rendu possible l’accès hors ligne au chiffrement ; Locky n’a donc plus besoin d’être connecté au réseau pour réaliser ses opérations de chiffrement.

Le serveur de Commande-et-Contrôle (C&C)

Locky ne se contente pas de générer les clés RSA mais en conserve aussi la trace de chacune pour chaque machine infectée. Pour ce faire, il communique avec son serveur C&C.

Le 12 juillet 2016 une nouvelle fonctionnalité est venue enrichir le chiffrement hors ligne : la clé RSA est désormais imbriquée dans le malware pour parer à une éventuelle indisponibilité du serveur C&C.

La rançon

Les protagonistes tiennent en otage les fichiers des utiliateurs et exigent d’eux une somme d’argent pour obtenir un outil de déchiffrement unique. Le moyen de paiement obligatoire est le Bitcoin (BTC), qui garantit l’anonymat des affiliés et empêche les forces de l’ordre de les identifier. Le montant demandé oscille entre 0.5 et 1 BTC, valorisé à environ $400 à $800.
Au fil de l’année 2016 Locky a fait preuve d’une croissance soutenue et propose des pages de paiement sur le web en plusieurs langues. Ainsi, en décembre 2016 la page marchande s’affiche en 30 versions différentes.

Récit chronologique

Février - Locky est né

• Le 15 février, les échantillons initiaux de Locky paraissent. Forcepoint est le premier à exposer les mécanismes internes de son algorithme de génération de domaine (DGA), utilisé pour la communication C & C :
https://blogs.forcepoint.com/security-labs/locky-ransomware-encrypts-documents-databases-code-bitcoin-wallets-and-more

La publication de ce blog incite les responsables à mettre un terme à leurs activités pendant quelques jours. Or, le 24 février, Locky revient avec une DGA nouvelle et améliorée. Nous l’avons exposée encore une fois :
https://blogs.forcepoint.com/security-labs/lockys-new-dga-seeding-new-domains

La mise à jour permet également à Locky d’identifier les machines en langue russe et d’éviter de les chiffrer.

Mai – Incidents de service
• Le 31 mai, le botnet Necurs tombe en panne et Locky disparait.
Juin - Reprise des affaires avec Zepto
• Le 21 juin, Locky revient en force avec de nouvelles ruses conçues pour piéger des outils de sécurité automatisés.

Nous avons exposé en détail l’une d’elles, employée directement à l’intérieur de Locky lui-même :
https://blogs.forcepoint.com/security-labs/locky-returned-new-anti-vm-trick
• Le 27 juin, les variantes Zepto voient le jour, portant l’extension ".zepto" au lieu de ".locky". Un seul affilié, le « 3 » utilise Zepto.
Juillet – Chiffrement hors ligne
• Le 12 juillet, Locky devient capable de chiffrer au travers de clés RSA imbriquées, s’affranchissant ainsi de services C&Cs.
Septembre – Nouvelles expériences
• A partir du 5 septembre certaines souches de Locky ne font plus du tout appel aux C&C et ne se servent que du mode de chiffrement hors ligne.

• Le 12 septembre, l’affiliée Locky 3 utilise pour la première fois un procédé intermédiaire que Forcepoint a identifié comme « Quant Loader ». Des forums russes parallèles avaient annoncé début Septembre l’avènement de ce dispositif de téléchargement :
https://blogs.forcepoint.com/security-labs/locky-distributor-uses-newly-released-quant-loader-sold-russian-underground
• Le 26 septembre, on rencontre l’extension ".odin" qui vient remplacer ".locky" or ".zepto". Cette fois encore, l’affilié 3 en est l’utilisateur exclusif.
Octobre – Un peu de repos
• Le 7 octobre, les affiliés 1 et 3, normalement très actifs, se taisent sans que nous sachions pourquoi. D’autres affiliés et notamment 5 et 23 continuent leurs opérations.

• Depuis cette date, les deux affilies utilisent constamment les C & C à nouveau, plutôt que de s’en remettre au seul chiffrement hors ligne.

• Le 25 octobre, certains affiliés qualifient les fichiers par l’extension ".thor".

Novembre/ décembre – Le trafic C&C change

• Le 21 novembre, certains affilies utilisent des URLs C&C avec la terminaison ".cgi" au lieu de ".php", par exemple : hxxp :///information.cgi. Ceux-ci préfèrent également pour leurs fichiers l’extension ".aesir" et non plus ".thor".

• Le 29 novembre, les utilisateurs ".aesir" se tournent vers l’extension de fichiers ".zzzzz".

• Le 5 décembre, les affiliés ".zzzzz" suppriment complètement les extensions de leurs URLs C&C et commencent une nouvelle extension de fichiers : ".osiris".

Que nous réserve l’avenir ?

Locky n’est nullement en voie de disparition. L’équipe Security Labs chez Forcepoint continuera à surveiller et à suivre les modifications apportées aux variantes Locky. Nous nous attendons à ce que les acteurs continuent à affiner les fonctionnalités du logiciel malveillant, ses moyens de distribution, son obscurcissement et les astuces destinées à tromper les expertises.


Voir les articles précédents

    

Voir les articles suivants