Lutter contrer Locky grâce à l’analyse des requêtes DNS ?

0
Le ransomware Locky constitue l’une des menaces informatiques parmi les plus redoutables de ces dernières années. Il est considéré le ransomware le plus dévastateur car il a infecté près de 100 000 terminaux dans le monde quotidiennement. Il y a bien sûr des outils et conseils que cherchent à aider les utilisateurs à se défaire de ce malware mais, toujours, a posteriori. Il n’existe toujours pas un moyen de faire face à cet ennemi.
Ce ransomware s’est propagé comme une traînée de poudre aux quatre coins du monde en utilisant un principe très simple : le corps du message demande de payer la facture en pièce jointe mais une fois ouverte, il installe en réalité un programme qui crypte les fichiers et exige ensuite le versement d’une somme en échange de la clé de chiffrement.
Néanmoins, cette semaine Yuriy Yuzifovich, directeur de la recherche en sécurité et science de la donnée de Nominum, à fait publique une tactique de combat très différente : il faut chercher à éviter l’affrontement plutôt qu’à batailler contre lui. C’est la solution que suggère cet expert dans un article publié sur Networkworld :
« En utilisant un large ensemble de données de requête DNS, il est possible de détecter et suivre l’évolution des domaines générés au travers d’une variété de méthodes algorithmiques comme le clustering, le score de réputation, le reverse engineering… », explique Yuriy Yuzifovich.
« L’examen du flux mondial de requêtes DNS anonymisées aux côtés de technologies de corrélation et de détection d’anomalie rend possible l’identification de domaines suspects utilisés par Locky pour télécharger des clés de chiffrements en temps réel. ForcePoint est l’une des sociétés ayant réussi à effectuer un tel travail pour réaliser de l’ingénierie arrière sur le DGA [domain generation algorithm]utilisé par Locky. En utilisant le DGA existant et en conduisant des processus additionnels de domaines suspects, il est possible de déterminer les nouveaux flux utilisés par Locky et d’énumérer alors tous les futurs noms de domaines que pourront utiliser Locky. »
D’après M. Yuzifovich, il est donc ainsi possible d’eviter l’infection par Locky en détectant les noms de domaine suspects rapidement. Plusieurs noms ont ainsi pu être détectés : mrjuvawlwa[.]xyz ; uydvrqwgg[.]su ; uwiyklntlxpxj[.]work ; owvtbqledaraqq[.]su ; udfaexci[.]ru ; eabfhwl[.]ru ; olyedawaki[.]pl ; uxwfukfqxhydqawmf[.]su ; ikdcjjcyjtpsc[.]work ; wrbwtvcv[.]su ; osxbymbjwuotd[.]click ; qtuanjdpx[.]info…
Locky est sans doute un de plus importantes malwares qu’on a malheureusement vu fréquemment en 2016 et qu’on peut continuer à voir pendant les prochaines mois car, n’oubliez pas que ses variantes se sont multipliés. N’oublions pas que la fréquence des attaques ransomware est passée en quelques mois d’une attaque toutes les 2 minutes à une attaque toutes les 40 secondes. Il semble donc nécessaire de s’ouvre quelques conseils basiques afin de se protéger.
Ransomware

About Author

Desirée Rodríguez

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @drodriguezleal.

Leave A Reply