Locky : le virus qui se cache dans des fichiers Word

Qu'est-ce qu'un ransomware et pourquoi est-ce si dangereux ?

Un ransomware, ou rançongiciel en français, est un logiciel malveillant qui vise à extorquer des fonds, aussi bien aux particuliers qu’aux organisations. Une fois un ordinateur infecté, ses fichiers sont chiffrés, rendant l’appareil inutilisable et ses données inaccessibles. Les cybercriminels à l’origine de l’attaque réclament alors une rançon, souvent en cryptomonnaie, en échange de la clé de déchiffrement.

Leur caractère lucratif fait des attaques par rançongiciels l’un des types de cyberattaques les plus plébiscitées par les hackers. À l’inverse, elles sont particulièrement redoutées par les victimes potentielles, car elles peuvent paralyser un système informatique dans son entièreté, entraînant parfois des pertes colossales.

Qu'est-ce que le ransomware Locky ?

Le ransomware Locky apparaît en 2016 et cible principalement les systèmes Windows. L’attaque débute souvent par une infection via une campagne de phishing par email. Une fois l’ordinateur infecté, le malware en crypte les fichiers. Si les victimes veulent récupérer la clé de déchiffrement, elles doivent alors s’acquitter d’une copieuse rançon en bitcoins.

L’ampleur des dégâts et l’impact médiatique de ce rançongiciel ont été tels que Locky figure parmi les cyberattaques les plus connues de l’histoire.

Qui est derrière le virus Locky ?

L’identité exacte des créateurs du ransomware Locky reste un mystère. Néanmoins, la majorité des experts en cybercriminalité attribuent la création de ce logiciel malveillant au groupe de hackers « TA505 », qui opère depuis plusieurs pays d’Europe de l’Est, et notamment la Russie.

Comment Locky s'est-il propagé à l'échelle mondiale ?

Locky se propage rapidement à travers le monde grâce au botnet Necurs (un réseau d'ordinateurs infectés contrôlés à distance par des cybercriminels), qui le distribue avec d’autres malwares . Necurs opère en vendant l’accès à des millions d’ordinateurs infectés, qui sont ensuite utilisés pour effectuer des campagnes de phishing massives.

 Les hackers utilisent des techniques de social engineering pour tromper leurs victimes. Ils envoient des e-mails avec des pièces jointes malveillantes, souvent déguisées en factures ou documents Word. Une fois la pièce jointe ouverte, Locky s'installe discrètement sur l'ordinateur et déclenche le chiffrement des fichiers.

Comment fonctionne le virus Locky ?

1. Utilisation du botnet Necurs pour effectuer une campagne de phishing massive. Les mails s’accompagnent d’une pièce jointe malveillante, souvent déguisée en facture ou en document Word.
2.  Lorsque l'utilisateur ouvre la pièce jointe téléchargée, il voit un document illisible. Un message lui demande alors d'activer les macros (des petits programmes automatisés dans les documents) pour corriger l'encodage des données.
3. La victime ne le sait pas, mais en les activant, elle donne à la pièce jointe malveillante l’autorisation de télécharger et d’exécuter le ransomware Locky sur l’ordinateur.
4. Les fichiers sont alors chiffrés, les rendant inaccessibles à la victime.
5. Une rançon est demandée pour obtenir le decryptor, la clé de déchiffrement. La demande explique comment s’en acquitter : il faut télécharger Tor pour accéder au site d’un des pirates, sur le darknet, où la victime doit payer une somme en cryptomonnaie (pour plus d’anonymat) afin d’obtenir le décrypteur.

Quels ont été les effets dévastateurs du ransomware Locky ?

Quel était l'impact de Locky sur les utilisateurs ?

Les impacts du ransomware Locky sur ses victimes sont multiples :

• Perte de données parfois critiques : les fichiers cryptés deviennent irrécupérables si la rançon n'est pas payée, entraînant une perte définitive des données.
• Interruption des activités : l'accès aux fichiers étant bloqué, certaines organisations se retrouvent paralysées et ne peuvent plus fonctionner normalement.
• Atteinte à la réputation : l'arrêt des activités ou la révélation de l'attaque peut sérieusement nuire à la confiance des clients et partenaires envers l'organisation.
• Frais de récupération : les victimes doivent investir pour récupérer les données corrompues et remettre en état les systèmes infectés, ce qui entraîne des coûts importants.
• Coûts financiers : les pertes financières incluent l'interruption des activités, les dommages à la réputation, le paiement de la rançon et les frais pour renforcer la sécurité après l'attaque.
• Anxiété et stress : les victimes subissent une pression importante face à la menace de perdre des informations cruciales et à l'urgence de répondre à la demande de rançon. 

Autant d'éléments potentiellement dévastateurs qui font craindre une attaque.

Qui a été touché par l'attaque Locky ?

Si Locky a fait un grand nombre de victimes à travers le monde, ses cyberattaques se sont surtout concentrées sur des organisations, qui représentent une cible plus rentable. Ont ainsi été visés :

• Hôpitaux et institutions de santé, qui sont plus susceptibles de payer la rançon rapidement, car ils ne peuvent se permettre une interruption de services vitaux.
• Institutions publiques comme des écoles ou universités.
• Entreprises, de toutes les tailles.

Si les particuliers peuvent aussi être pris pour cible, les attaques tendent à se concentrer sur de plus grosses structures, qui ne peuvent pas se permettre une interruption des activités, et à qui les cybercriminels peuvent demander une rançon plus importante.

Quelles ont été les plus grandes rançons payées avec le ransomware Locky ?

Les établissements de santé, par leur propension à payer, ont fait partie des cibles privilégiées de Locky. Parmi eux, le Hollywood Presbyterian Medical Center de Los Angeles qui en 2016 a dû payer 40 bitcoins (environ 17 000 dollars à l’époque) pour récupérer l’accès à ses systèmes.

De manière générale, la rançon demandée variait de 0,5 à 1 bitcoins, sachant qu’en 2016, année où Locky a été le plus actif, un bitcoin valait entre 332 et 938 dollars selon la période de l’année.

Quelle a été la réponse des entreprises, gouvernements et de la communauté cyber face à Locky ?

Plusieurs mesures ont été prises pour endiguer l’essor de la menace Locky et réparer ses dégâts :

• Renforcement des mesures de cybersécurité avec le déploiement d’antivirus plus efficaces, la mise en place de filtres emails et des solutions de détection des intrusions.
• Des campagnes de sensibilisation ont été mises en place pour éduquer aux risques du phishing, et apprendre à reconnaître les pièces jointes et mails suspects.
• Des décrypteurs gratuits ont été mis à disposition par des experts de la cybersécurité pour aider les victimes à récupérer leurs données sans payer la rançon.
• Les plans de réponse aux incidents de nombreuses organisations ont été actualisés, invitant par exemple les employés à éteindre leur ordinateur en cas de détection de Locky pour éviter la propagation du ransomware aux autres machines du réseau.

Conclusion : Le ransomware Locky représente-t-il encore une menace aujourd'hui ?

Le ransomware Locky originel qui a commencé à faire des ravages en 2016 a été neutralisé grâce aux efforts conjoints des acteurs de la cybersécurité. Néanmoins, Locky continue d’inspirer les hackers. Des variantes ou copycat ont ainsi vu le jour au fil des ans comme PowerLocky, Zepto, Osiris, et Thor. 

Des variantes ou d’autres logiciels malveillants continuent  d’émerger, comme par exemple REvil en 2019. Ces nouvelles menaces sont même plus dangereuses, car elles ont appris des failles de Locky pour se perfectionner, en adoptant par exemple des mesures d’obscurcissement pour que les logiciels antivirus aient plus de mal à les détecter. Aujourd’hui plus que jamais, il est donc essentiel de sensibiliser aux risques cyber que représentent les ransomwares.

Questions fréquentes à propos du ransomware Locky :

Qu'est-ce que les victimes pouvaient faire si elles étaient infectées par Locky ?

Pour éviter la propagation de Locky au reste du réseau, les victimes doivent immédiatement isoler les ordinateurs infectés, par exemple en les éteignant. Elles peuvent ensuite tenter de restaurer leurs fichiers grâce à une sauvegarde saine (stockée sur un disque dur externe par exemple). Si elles ne disposent pas d’une telle sauvegarde, elles peuvent recourir à un decryptor gratuit mis à disposition par des acteurs de la cybersécurité. Ces clés de déchiffrement ne fonctionnent néanmoins pas pour toutes les variantes de Locky.

Pourquoi Locky a-t-il marqué un tournant dans les attaques par ransomware ?

Locky a marqué un tournant dans les attaques par ransomware en raison de sa méthode de distribution massive. Passer par le botnet Necurs lui a permis d’avoir accès à des millions d’ordinateurs pour envoyer ses mails piégés, multipliant les victimes potentielles et les dégâts.