Sécurité IT : la menace CTB-Locker se décline
Une nouvelle variante du rançongiciel CTB-Locker a été détectée. Elle est plus agile… et plus difficilement détectable.
Dispositif de chiffrement hautement sophistiqué, exploitation d’une demi-douzaine de réseaux anonymes pour brouiller les pistes, détection des machines virtuelles potentiellement utilisées par des chercheurs en sécurité informatique : la nouvelle variante de CTB-Locker fait frémir.
Aussi appelé Onion ou Citroni, ce malware entre dans la catégorie des rançongiciels (ransomware). Il chiffre les données des machines qu’il infecte et demande une rançon pour y restaurer l’accès.
Sa propagation se fait essentiellement via des e-mails d’apparence anodine, personnalisés au maximum – grâce à des informations récupérées par social engineering – pour ne pas éveiller les soupçons des utilisateurs ciblés.
Ces courriers électroniques sont parfois envoyés avec l’identité – usurpée – d’un ami ou d’un collègue. En entreprise, ils peuvent imiter des factures, des plaintes de clients ou des communications corporate. Le grand public reçoit plutôt des messages appelant à télécharger la dernière version d’un logiciel dit « vulnérable » à défaut d’avoir été mis à jour.
CTB-Locker (ou au moins l’une de ses composantes ; parfois une simple commande de redirection vers le téléchargement d’un exécutable malveillant) se loge généralement dans la pièce jointe. L’une des versions francophones du malware se présente sous la forme d’un écran de veille avec, comme icône, un drapeau français.
Un malware plus malin
Lorsque l’engrenage est lancé, les fichiers localisés sur le disque interne sont chiffrés avec un système de clés asymétriques qui les rend très difficilement déchiffrables. CTB-Locker s’attaque aussi aux supports externes et aux lecteurs réseau.
Les victimes ont un court délai, généralement de 72 heures, pour verser de l’argent en échange de la clé qui permettra le déchiffrement. En signe de « bonne foi », il leur est proposé de choisir 5 fichiers qui seront restaurés sans avoir à payer de rançon. Un système déjà exploité par le ransomware CoinVault, qui, toutes les 24 heures, augmente le montant de la rançon jusqu’à ce que le paiement soit fait.
La seule devise acceptée par CTB-Locker est le bitcoin, décentralisé, chiffré… et surtout anonyme. Sur ce point, on peut aussi noter le recours à Tor et à plusieurs autres réseaux destinés à compliquer la tâche des autorités qui tenteraient de localiser les serveurs utilisés par le malware.
Les estimations varient selon les experts en sécurité, mais globalement, plusieurs milliers de tentatives d’intrusion ont déjà été repérées, surtout en Ukraine et en Russie. L’Europe de l’Ouest n’est pas pour autant épargnée : CTB-Locker est désormais décliné en allemand, en néerlandais et en italien (l’ancienne version visait déjà le public francophone).
Comment se protéger ? Il est nécessaire de réaliser régulièrement des copies de sauvegarde de chaque poste de travail. Tout en s’assurant que logiciels et système d’exploitation soient à jour avec les derniers correctifs de sécurité.
Il existe au moins une solution pour retrouver des données : utiliser les points de restauration système si la fonctionnalité était activée avant l’infection. La récupération peut s’effectuer fichier par fichier (en restaurant d’anciennes versions dans le menu des propriétés) ou s’appliquer à des dossiers en passant par le programme Shadow Explorer. Il faut procéder avec minutie : si l’on supprime CTB-Locker, il devient presque impossible de retrouver l’accès aux fichiers.
Crédit photo : Sergey Nivens – Shutterstock.com