[Alerte ANSSI] Une nouvelle version de Locky de retour dans les messageries françaises

Nous essayerons ici de faire passer un maximum d’alertes de sécurité relatives au SIH, tous les types de cyber attaques
Répondre
Avatar du membre
charles
Administrateur du site
Messages : 3144
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

[Alerte ANSSI] Une nouvelle version de Locky de retour dans les messageries françaises

Message par charles » 05 août 2018 19:05

L'ANSSI nous informe dans une alerte du 03/08/2018 qu'une campagne de message non sollicités accompagnés d'un lien permettant le téléchargement d'une version récente du rançongiciel chiffrant (pour Windows) Locky.

Objet des messages observés : Nous avons reçu votre paiement

Contenu du message :
Madame, Monsieur,

Nous vous notifions que votre commande du XX/XX/2018 d'un montant de
XXX€ a bien été enregistrée.
Le contenu de votre commande est détaillé dans la facture téléchargeable
en cliquant ici*

Tout changement sur l'état de votre commande (préparation, expédition,
etc.) vous sera automatiquement et immédiatement notifié par email.

L'expédition du produit aura lieu 24 heures au plus après le passage à
l'état "validé" de votre demande.
Toute commande qui nous parvient incomplète demande des délais de
traitement supplémentaires dont nous ne saurions être tenus responsables.
*Liens de téléchargement observés :

Code : Tout sélectionner

hxxp://centredentairenantes[.]fr_BAD/wp-system.php
hxxp://savigneuxcom.securesitefr[.]com_BAD/client.php?fac=001838274191030
La soi-disant "facture" est une archive zip dans une autre archive zip contenant un exécutable.

L'occasion de faire une piqûre de rappel aux utilisateurs et de surveiller de prés vos anti spam.

Source : https://www.cert.ssi.gouv.fr/alerte/CER ... 8-ALE-008/

michael
Messages : 113
Enregistré le : 12 févr. 2016 13:38
Etablissement : CHU Nimes
Fonction : RSSI
CIL : Non

Re: [Alerte ANSSI] Une nouvelle version de Locky de retour dans les messageries françaises

Message par michael » 06 août 2018 09:46

Merci Charles. Le site "centredentairenantes" était déjà sur la blacklist de notre éditeur. J'ai ajouté l'autre.
Tu sais s'il y a des nouvelles fonctions à ce nouveau Locky ? Usage de certaines vulns ?

Avatar du membre
charles
Administrateur du site
Messages : 3144
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: [Alerte ANSSI] Une nouvelle version de Locky de retour dans les messageries françaises

Message par charles » 06 août 2018 12:19

Bonjour Michael,

Je n'ai pas beaucoup d'infos et je n'ai pas pu récupérer d'échantillon pour le moment.
Après recherches dans notre anti-spam, je constate que nous recevons toujours des messages ce matin.
Les messages n'ont déclenché aucune alerte.

Les liens semblent HS

Voici un nouveau lien de téléchargement que j'ai pu observer :

Code : Tout sélectionner

hxxps://www.lyceepergaud[.]fr/wp-index.php?emailid=091942811&OrderID=001848284&invoice=yes
Voici des adresses expéditrices que j'ai pu observer :

Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.


Ainsi qu'un autre exemple de mail :

Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.


Adresses IP des serveurs expéditeurs observées :

Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Répondre

Retourner vers « Alertes de sécurité - Attaques et infections »