[Vigilance] Retour du rançongiciel Locky (diablo6) (Lukitus)

Nous essayerons ici de faire passer un maximum d’alertes de sécurité relatives au SIH, tous les types de cyber attaques
Avatar du membre
charles
Administrateur du site
Messages : 2283
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

[Vigilance] Retour du rançongiciel Locky (diablo6) (Lukitus)

Message par charles » 10 août 2017 14:30

Annoncé par le chercheur Racco42, il semblerait que le rançongiciel Locky soit de retour (ou plutôt une variante qui chiffre les fichiers avec une extension .diablo6) avec une nouvelle campagne de Phishing.

Des messages vides avec des objets du type :

Code : Tout sélectionner

"E 2017-08-09 (<2-3 digits>).<doc|docx|xls|xlsx|jpg|tiff|pdf|jpg>"
Des entêtes pouvant ressembler à ça :

Code : Tout sélectionner

From: Jeanne@[REDACTED]
To: [REDACTED]
Subject: E 2017-08-09 (87).xls
Date: Mon, 24 Jul 2017 07:51:08 +0000
Accompagnés de pièces jointes du type :

Code : Tout sélectionner

E 2017-08-09 (87).zip
L'archive contient un vbscript qui est en fait un dropper qui va télécharger la charge utile :

Code : Tout sélectionner

E 2017-08-09 (443).vbs
La charge a été repérée sur de nombreux sites corrompus et notamment des sites Français :

Code : Tout sélectionner

http://3sat.fr/y872ff2f
http://adnangul.av.tr/y872ff2f
http://aedelavenir.com/y872ff2f
http://aisp74.asso.fr/y872ff2f
http://ambrogiauto.com/y872ff2f
http://apositive.be/y872ff2f
http://atesbocegianaokulu.com/y872ff2f
http://attilabalogh.com/y872ff2f
http://autoecole-jeanpierre.com/y872ff2f
http://auto-ecole-lecastelet.com/y872ff2f
http://auxilia-fr.com/y872ff2f
http://azlinshaharbi.com/y872ff2f
http://bayimpex.be/y872ff2f
http://beansviolins.com/y872ff2f
http://binarycousins.com/y872ff2f
http://boschettoristorante.it/y872ff2f
http://busad.com/y872ff2f
http://camefe.com.mx/y872ff2f
http://campusvoltaire.com/y872ff2f
http://cipemiliaromagna.cateterismo.it/y872ff2f
http://dbr663dnbssfrodison.net/af/y872ff2f
http://fachwerkhaus.ws/y872ff2f
http://flooringforyou.co.uk/y872ff2f
http://greenerlivingca.com/y872ff2f
http://henweekendsbirmingham.co.uk/y872ff2f
http://homeownersinsurance.ca/y872ff2f
http://iida-sevensuns.com/y872ff2f
http://jaysonmorrison.com/y872ff2f
http://llallagua.ch/y872ff2f
http://melting-potes.com/y872ff2f
http://peluqueriacaninaencordoba.com/y872ff2f
http://saunaesofmansatis.net/y872ff2f
http://searchlightcare.com/y872ff2f
http://tasgetiren.com/y872ff2f
http://telesolutionsconsultants.com/y872ff2f
http://themeastralgratuit.com/y872ff2f
http://willemshoeck.nl/y872ff2f
Elle est détectée par de nombreux antivirus, mais pas tous :

https://www.virustotal.com/fr/file/f689 ... /analysis/

Un de dropper semble quant à lui un peu moins détecté :

https://www.virustotal.com/fr/file/390e ... 502275376/

L'utilisation d''autres droppers est plausible...

Pour l'avoir testé, voici la demande de rançon :


Image

Les fichiers chiffrés :


Image

Le site de paiement :


Image

Il communique avec différents serveurs C2 hébergés dans les pays de l'est :roll: :

83.217.8.61

31.202.130.9

91.234.35.106


Image

Soyez vigilants !


Sources et infos complémentaires :

https://pastebin.com/Qbr66946

https://pastebin.com/ihWGvjsf

Avatar du membre
charles
Administrateur du site
Messages : 2283
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: [Vigilance] Retour du rançongiciel Locky (diablo6) (Lukitus)

Message par charles » 17 août 2017 07:24

Le série des Locky n'est pas finie, des campagnes sont toujours en cours.
Une nouvelle version très similaire à diablo6 avec cette fois-ci des extensions .lukitus aurait fait son apparition hier d'après les chercheurs de Malwarebytes.

Quelques infos intéressantes sur les campagnes de ces derniers jours :

Aug-09: MalSpam attached .zip with .vbs malware.

VBS: 4c1975295603dbb3994627a499416b71
Payload: 0d0823d9a5d000b80e27090754f59ee5

Aug-11: MalSpam attached PDF with embedded .DOCM files.

PDF: 84fd7ba91a587cbf8e20d0f2d5fda285
DOC: 97414e16331df438b2d7da0dad75a8d5
Payload: 9dcdfbb3e8e4020e4cf2fc77e86daa76

Aug-14: MalSpam attached RAR with .JS malware.

JS: badea58f10d5d2bb242962e3c47ff472
Exe: 6b4221adf0ecb55cd1a4810330b4e1e4

Aug-15: MalSpam attached ZIP with .JS malware.

JS: 5f1af4f2702a6bc7f5250c9879487f66
Exe: 89ed8780cae257293f610817d6bf1a2e

Aug-16: MalSpam attached ZIP with .JS malware.

JS: f2c97bd1793ff93073bfde61d12f482b
Exe: 4baa57a08c90b78d16c634c22385a748

Source : https://blog.malwarebytes.com/cybercrim ... w-flavors/

Avatar du membre
charles
Administrateur du site
Messages : 2283
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: [Vigilance] Retour du rançongiciel Locky (diablo6) (Lukitus)

Message par charles » 17 août 2017 15:35

Certains sites hébergeant le dropper de diablo6 hébergent désormais un autre dropper pointant vers un autre rançongiciel chiffrant qui chiffrent les fichiers avec une extension .crypted000007

Avatar du membre
charles
Administrateur du site
Messages : 2283
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: [Vigilance] Retour du rançongiciel Locky (diablo6) (Lukitus)

Message par charles » 18 août 2017 13:19

Il semblerait que la France commence à se faire arroser sérieusement par ces derniers rançongiciels notamment Mamba et Lukitus.
Des messages avec des objets du type "Facture N° XXXX du 18/08/2017" (XXXX étant un numéro aléatoire).
Je n'ai rien vu de mon côté.
Si vous avez plus d'infos de votre côté.
Restez vigilants.

o.muret
Messages : 4
Enregistré le : 05 juil. 2017 14:02
Etablissement : CH Montauban
Fonction : Responsable SI
CIL : Non
Site Internet de l'établissement : http://www.ch-montauban.fr/
Contact :

Re: [Vigilance] Retour du rançongiciel Locky (diablo6) (Lukitus)

Message par o.muret » 18 août 2017 14:12

charles a écrit :
18 août 2017 13:19
Il semblerait que la France commence à se faire arroser sérieusement par ces derniers rançongiciels notamment Mamba et Lukitus.
Des messages avec des objets du type "Facture N° XXXX du 18/08/2017" (XXXX étant un numéro aléatoire).
Bonjour Charles,

En effet attaque massive en cours bloquée sur notre antispam "altospam"
Pour ceux qui n'ont pas de solution fiable d'antispam, il reste la possibilité de bloquer les mails contenant des mots clés spécifiques dans l'objet a travers une règle de transport sur Exchange par exemple.
soyez vigilent.

Olivier

Avatar du membre
charles
Administrateur du site
Messages : 2283
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: [Vigilance] Retour du rançongiciel Locky (diablo6) (Lukitus)

Message par charles » 18 août 2017 14:18

Merci pour ce retour Olivier.

ElPabloDelCasaTa
Messages : 9
Enregistré le : 04 déc. 2015 15:12
Etablissement : S J D
Fonction : Responsable SI
CIL : Non

Re: [Vigilance] Retour du rançongiciel Locky (diablo6) (Lukitus)

Message par ElPabloDelCasaTa » 18 août 2017 14:24

Bonjour Charles,
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Pour le moment c'est bloqué par notre antispam

Avatar du membre
charles
Administrateur du site
Messages : 2283
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: [Vigilance] Retour du rançongiciel Locky (diablo6) (Lukitus)

Message par charles » 18 août 2017 14:28

Oui c'est bien ça !

IKF
Messages : 7
Enregistré le : 17 juil. 2015 16:39
Etablissement : CH Tréguier
Fonction : Technicien SI
CIL : Non
Site Internet de l'établissement : http://www.ch-treguier.fr

Re: [Vigilance] Retour du rançongiciel Locky (diablo6) (Lukitus)

Message par IKF » 18 août 2017 14:40

Bonjour,
Voilà un exemple reçu ce jour:
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Avatar du membre
charles
Administrateur du site
Messages : 2283
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: [Vigilance] Retour du rançongiciel Locky (diablo6) (Lukitus)

Message par charles » 18 août 2017 14:41

Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Répondre

Retourner vers « Alertes de sécurité - Attaques et infections »