Tél: A Linas: 06.67.44.90.09  A Morsang sur Orge: 06.13.40.54.86

C’est probablement l’incident qui a mis les ransomware sous les feux de la rampe médiatique, plus d’un an avant l’épidémie de WannaCry. En fevrier 2016, le Hollywood Presbyterian Medical Center de Los Angeles en Californie a été visé par le ransomware Locky. L’attaque a chiffré les systèmes de tout le réseau, empêchant les employés d’accéder aux ordinateurs et aux données.
 

L’hôpital a fini par céder et a accepté de payer une rançon de 40 bitcoins, une somme équivalant à l’époque 17.000 dollars afin de récupérer la clef de déchiffrement.

« La manière la plus rapide de retrouver l’accès à nos données et aux fonctions administratives était de payer la rançon et d’obtenir la clef de déchiffrement. Afin de pouvoir revenir à un rythme d’opération normal, c’est donc ce que nous avons fait » a expliqué à l’époque Allen Stefanek, le président du Hollywood Presbyterian Medical Center.

Locky a poursuivi ses infections au cours de l’année 2016 à un rythme effréné, sans autre alternative pour les victimes que le paiement de la rançon. Cette souche de ransomware était si populaire qu’au mois de novembre 2016, elle était devenue l’un des malwares les plus communs.

Mais en décembre 2016, Locky a entièrement disparu. Certains chercheurs ont ainsi évoqué l’idée que les opérateurs étaient partis en vacances pour les fêtes. Il a fait son retour en janvier, mais dans des proportions moindres par rapport au volume de diffusion constaté précédemment.

« Locky est un ransomware incroyablement sophistiqué et puissant » résume Adam Kujawa, directeur Malware Intelligence chez MalwareBytes. « Au final, les cybercriminels veulent de l’argent et ils sont pour cela prêts à utiliser tous les outils à leur disposition. » Si Locky est un succès, les cybercriminels à l’origine de son projet restent probablement des opportunistes constamment à l’affût de nouveaux outils pour extorquer des rançons. Si cela implique de laisse Locky de côté pendant une période, alors qu’il en soit ainsi.

Mais pour l’instant, Locky reste une valeur sûre : si les victimes cessaient de payer des rançons, les cybercriminels auraient tôt fait de passer à de nouvelles méthodes. Mais plus de 18 mois après l’attaque du Hollywood Presbyterian Medical Center, Locky est toujours là et s’attaque à de nouveaux réseaux. Les ransomwares restent une méthode efficace, car de nouvelles machines continuent d’être infectées et de nouvelles entreprises acceptent de payer les rançons pour récupérer l’accès à leurs systèmes, notamment en l’absence d’outil de décryptage.

Pour résumer, Locky est de retour, car Locky est efficace. La prochaine fois qu’il semblera disparaître, ne criez donc pas victoire trop vite : il est plus que probable que ses créateurs aient simplement choisi de faire une pause pour le rendre encore plus efficace.

Cet article est une traduction de "Locky ransomware: Why this menace keeps coming back" initialement publié sur ZDNet.com

Microsoft a corrigé, en mars, les failles utilisées par la NSA, et révélées par Shadow Brokers en avril !

Intéressant, c’est le moins que l’on puisse dire. Les hackers de la NSA, les Shadow Brokers ont diffusé avant le week-end de Pâques, des outils de piratage qui auraient été utilisés par les pirates de la National Security Agency. Des codes, des logiciels, des failles portant les doux noms de ODDJOB, ZIPPYBEER, ESTEEMAUDIT… Des logiciels utilisés par le service de renseignement de l’Oncle Sam qui servaient, soit à infiltrer un ordinateur sous Windows, soit carrément espionner l’utilisateur des systèmes d’exploitation de Microsoft. L’ensemble des Windows étaient touchés par ces vulnérabilités made in NSA.

Par on ne sait quel miracle, les failles ont été corrigées par Microsoft, en mars. Soit 1 mois avant l’annonce des hackers de la NSA. Les Shadow Brokers ont-ils alertés Microsoft ? J’en doute ! La NSA alors ? Toujours est-il que vendredi soir, Microsoft diffusait sur son blog un message réconfortant. Les outils de la NSA n’étaient donc pas des 0days ? Microsoft n’explique pas, comme il est habituel, d’où provient l’aide qui lui a permis de patcher.

En attendant, la NSA doit se mordre les doigts d’avoir perdu autant de possibilités d’infiltrer n’importe quel Windows dans le monde… ou pas !

Pendant ce temps, on apprend dans les pages de DataSecurityBreach.fr que la société Oracle a corrigé 299 failles, dont Struts. Vulnérabilité utilisée par la NSA et révélée par Shadow Brokers.

Les experts sécurité du G DATA Security Labs ont recensé 1 852 945 nouveaux types de programmes malveillants (malware) au cours du 1er trimestre 2017, soit un nouveau code toutes les 4,2 secondes. Un nouveau record est à prévoir pour l’année 2017 avec des projections qui tablent sur 7,41 millions de nouveaux types de codes malveillants sur l’année.

Dans le détail, la majorité des nouveaux types de logiciels malveillants (malware) détectés est à classer dans la catégorie des chevaux de Troie. Ceux-ci permettent la prise de contrôle des machines victimes à des fins malveillantes : vol d’informations personnelles, intégration dans des botnets ou encore utilisation dans des attaques distribuées de déni de service (DDoS).

La seconde position est occupée par les adwares avec une nette augmentation. Sur l’année 2016 la part des adwares était de 4,9 %, elle est de 13,9 % sur le premier trimestre de cette année.

Mis en avant par les dégâts qu’ils engendrent, les ransomwares ne représentent qu’une partie infime du total des nouveaux types de codes détectés sur le trimestre (moins de 0,1 % du total). Mais leur forte diffusion en fait un des principaux dangers. De plus, ils augmentent fortement. En 2016, leur nombre avait été multiplié par neuf entre la première et la seconde moitié de l’année. Sur le premier trimestre 2017, la quantité de nouveaux types de ransomware détectés atteint déjà celle comptabilisée lors des 6 derniers mois de l’année 2016. (source : site de zataz.com)

 

Déja 7 ans d'éxistence !