Sergey Nivens - Fotolia
Locky : Eset alerte sur une nouvelle vague
L’éditeur avertit de la large diffusion, en Europe notamment, d’un script JavaScript malveillant, en pièce jointe de courriers électroniques, et utilisé en particulier pour le téléchargement du rançongiciel Locky et ses variantes.
Selon Eset, la vigilance s’impose en matière à la réception de courriels. Certains sont en effet largement susceptibles de contenir, en pièce jointe, un élément de code JavaScript malveillant, référencé JS/Danger.ScriptAttachment par l’éditeur, et chargé de télécharger une charge utile malveillante sur le poste compromis. Et dans la majorité des cas, il s’agirait « de différentes familles de crypto-rançongiciels tels que Locky ».
Pour l’heure, selon Eset, le Luxembourg, l’Autriche, les Pays-Bas et le Royaume-Uni sont les plus concernés, avec des ratios de détection allant de 67 % pour le premier, à 51 % pour le dernier. En France, l’éditeur fait état d’un ratio de détection de 36 %. Mais ces chiffres sont susceptibles de constituer un trompe-l’œil.
De fait, JS/Danger.ScriptAttachment apparaît très largement utilisé par les cybercriminels, avec un taux de prévalence de 3,59 % à l’échelle mondiale, ce qui le place en seconde position derrière le ver Win32/Bundpil. Mais en France, selon le service Virus Radar d’Eset, le téléchargement JavaScript malveillant affiche un taux de prévalence de 4,67 %, ce qui le place en tête des menaces les plus observées dans le pays. Et c’est sans compter avec un autre, également bien connu pour télécharger des rançongiciels, Nemucod, qui affiche un taux de prévalence de 0,87 % dans l’Hexagone.
En février dernier, Locky se diffusait encore en imitant Dridex, à savoir via des fichiers Word. Une importante vague a frappé la France dès février, assortie d’alertes lancées avec un délai certain. Sylvain Sarméjeanne, spécialiste de la rétro-ingénierie de logiciels malveillants au Cert de Lexsi propose depuis la fin mars de vacciner les postes de travail contre Locky.
Les créateurs d’un autre rançongiciel, TeslaCrypt, ont récemment mis la clé sous la porte. Mais pour beaucoup, les ransomwares ne sont pas prêts de disparaître, et certains s’attendent à ce que les campagnes gagnent là en ampleur.