Les conséquences de l'infraction sécuritaire de l'OPM : Locky exploite les données volées des victimes
Le virus Locky a été reconnu comme étant l’une des cybers infections les plus actives de la première moitié de cette année. Cependant, avec ses techniques de diffusion très développées, ce virus continuera d’occuper la position de leader pendant bien longtemps. En effet, on pense qu’ environ 97 % de tous les emails comportant des pièces jointes malveillantes portent la marque du virus Locky ou d’une de ces versions modifiées. Parmi ces versions, on peut citer, Thor, Shit virus, Perl ransomware et, eventuellement, un bon nombre d’autres rééditions de Locky que les experts ne connaissent même pas encore.
En ce qui concerne la diffusion et les méthodes d’infiltration de Locky, il serait faux de penser qu’il n’y a rien a apprendre de nouveau chaque jour. Par exemple, plus tôt en novembre, les analystes en matière de virus ont revélé qu’une autre campagne importante de publicité malveillante était utilisée pour diffuser deux versions de Locky par le moyen du kit d’exploit Bizarro Sundown. C’est un nouveau et dangereux élément qui s’ajoute aux kits Angler et Rig que les développeurs de Locky ont souvent utilisés au départ pour propager leur virus. Cependant, la plus importante découverte qui pourrait aider les utilisateurs ordinaires est celles qui a été faite par l’équipe de PhishMe.
Les chercheurs de PhishMe ont découvert une nouvelle tactique que les pirates informatiques utilisent pour tromper les utilisateurs et les pousser à télécharger des pièces jointes aux courriers électroniques transportant la charge utile Locky. Les experts l’appellent OPM Bank Fraud ou simplement OPM scam. OPM représente le Bureau américain de la gestion du personnel – le nom d’une institution par laquelle les pirates informatiques transmettent une notification frauduleuse à leurs victimes potentielles, laquelle leur met en garde contre une infraction financière présumée. Les utilisateurs reçoivent le message suivant:
Cher(e) [NOM],
Carole qui travaille à la banque nous a fait part des mouvements suspects sur votre compte. Examinez l’enregistrement scanné ci-joint. Si vous avez besoin de plus d’informations, n’hésitez pas à me contacter.
Ce courriel est accompagné d’une pièce jointe ZIP qui masque le fichier JavaScript infectieux. Les utilisateurs n’ont qu’à ouvrir ce fichier et le téléchargement de Locky démarre immédiatement. Il est intéressant de noter que le virus s’adresse spécifiquement aux victimes des fameuses violations de sécurité de l’OPM survenues en 2014 et 2015. En d’autres termes, les créateurs de Locky veulent exploiter les craintes des victimes de ce précédent cyber crime pour infecter à nouveau leurs ordinateurs. Pour dissimuler leurs pistes, les pirates ont déjà utilisé plus de 323 noms de pièces jointes unique, tandis que la charge utile du virus a été téléchargée à partir de 78 URL distinctes. De telles pratiques occultent la détection et la prévention du virus et, en général, ramènent la distribution des rançongiciels à un tout autre niveau. Ainsi, les responsables d’entreprise sont fortement invités à informer leurs personnels des précautions de sécurité en ligne et choisir des solutions ou options de sauvegarde des données fiables.