Le ransomware Tricky Locky piège les hôpitaux américains

Médecins et patients du monde entier, soyez prudents ! Les cybercriminels comptent un nouveau membre dans leur famille ! Malgré son jeune âge, un ransomware âgé d’un mois a déjà crypté des fichiers dans deux hôpitaux américains et rapporté 17 000$ à ses créateurs.

Ce « bébé » a été surnommé Locky, et a rapidement gagné en notoriété dans le monde entier peu après sa naissance. La raison ? Il a infecté des dossiers médicaux de l’Hollywood Presbyterian Medical Center de Los Angeles. L’hôpital s’est en effet retrouvé bloqué et s’est vu finalement obligé de payer 17 000$ pour récupérer ses dossiers.

#Locky #Ransomware Borrows Tricks from Dridex via @threatpost https://t.co/4VRyAas6pY pic.twitter.com/JO43afN7hq

— Kaspersky Lab (@kaspersky) February 18, 2016

La dernière victime en date est le Methodist Hospital à Henderson dans le Kentucky, établissement de soins généraux d’une capacité de 217 lits. Pour stopper l’infection, l’hôpital a dû éteindre tous les ordinateurs du réseau. L’administration hospitalière est actuellement en train de collaborer avec le FBI et de vérifier tous les dispositifs un par un qui seraient susceptibles d’être infectés, certaines données pouvant être récupérées à partir des sauvegardes. Contrairement à l’attaque de l’hôpital précédent, la rançon demandée n’était seulement que de 1600$. Cependant, les responsables du Methodist Hospital affirment que l’argent ne sera déboursé que dans le pire des cas.

Methodist Hospital officials – "The ransom was not paid. Our system is up and running." @14News

— Jessica Gavin (@JGavin14News) March 21, 2016

Les aventures de Locky ont commencé par un mail, comme c’est souvent le cas. Vendredi dernier, un employé de l’hôpital a reçu un spam et a lancé la pièce jointe, qui à son tour a téléchargé un ransomware provenant du serveur des hackers, permettant à Locky de se faufiler dans le réseau. Le cheval de Troie a rapidement copié toutes les données de l’appareil visé, les a ensuite cryptées puis en a supprimé les données originales. Au même instant, Locky avait commencé sa journée en infiltrant le réseau interne de l’hôpital. La seule façon de l’arrêter était de couper tous les ordinateurs.

Auparavant, Locky avait été exécuté avec l’aide de fichiers doc qui contenaient des scripts malveillants et qui téléchargeaient le cheval de Troie depuis des serveurs à distance. Ce n’est que plus tard que les coupables ont modifié leurs tactiques et ont remplacé les archives zip par des scripts Java, qui téléchargeaient également le cheval de Troie depuis les serveurs des hackers qui le propageaient. La plupart des mails malveillants étaient écrits en anglais, bien qu’il y avait aussi des mails écrits dans deux langues.

#Hospitals are under attack… what's at risk? https://t.co/b1WYjQgpfY via @61ack1ynx #Infosec pic.twitter.com/euuJ8041U0

— Kaspersky Lab (@kaspersky) March 24, 2016

Selon Kaspersky Security Network, Locky attaque des utilisateurs pour la plupart en Allemagne, en France, au Koweït, en Inde, en Afrique du Sud, aux Etats-Unis, en Italie, en Espagne et au Mexique. A notre connaissance, la Russie et les pays de la Communauté des États indépendants (CEI) ne sont pas concernés par ce cheval de Troie.

Il faut préciser que Locky est un cheval de Troie très étrange, étant donné qu’il recueille des statistiques détaillées concernant chaque victime, ce qui est vraiment peu commun pour un ransomware. Cet enthousiasme peut s’expliquer par les intérêts financiers des coupables : cette activité leur permet en effet de définir la valeur des fichiers cryptés afin d’établir une rançon individuelle et en obtenir des profits conséquents.

10 tips to protect your files from ransomware https://t.co/o0IpUU9CHb #iteducation pic.twitter.com/I47sPIiWFF

— Kaspersky Lab (@kaspersky) November 30, 2015

Il est peu probable que Locky ait été créé spécialement pour attaquer des institutions médicales. Les experts en sécurité ont la certitude que les hackers partiront à la chasse des utilisateurs qui dépendent énormément de données, tels que les avocats, le personnel médical, les architectes etc.

En conclusion, nous aimerions vous informer que les solutions de Kaspersky Lab protègent les utilisateurs de Locky sur plusieurs niveaux de notre ligne de défense.

1. Le module anti-spam détecte les mails malveillants envoyés par les cybercriminels.

2. Intégré dans l’email et le fichier antivirus, il détecte les scripts téléchargés et prévient les utilisateurs. Nos solutions détectent les scripts tels que les chevaux de Troie Trojan-Downloader.MSWord.Agent, Trojan-Downloader.JS.Agent aet HEUR:Trojan-Downloader.Script.Generic.

3. Le fichier antivirus reconnait le dossier exécutable et avertit l’utilisateur que le cheval de Troie Trojan-Ransom.Win32. Locky a été détecté.

4. Le module System agent de Kaspersky Internet Security sera même en mesure de trouver des échantillons du ransomware Locky et informera ainsi l’utilisateur que le cheval de Troie PDM:Trojan.Win32.Generic a été décelé. Il empêchera également le cheval de Troie de crypter les fichiers sur votre disque dur. En ce sens, aucun ransomware ne pourra voler ou bloquer vos données et vous demander de l’argent en contrepartie.