Le ransomware LockerGoga identifié lors d'une attaque contre Altran

Le 28 janvier, l'entreprise de services du numérique Altran a publié un communiqué de presse annonçant qu'une cyber attaque avait ciblé son infrastructure le 24 janvier. Cette attaque aurait impliqué un nouveau rançongiciel, rapidement nommé LockerGoga d'après certaines parties du code. Altran a pris la décision de déconnecter son SI et ses applications et n'a, à ce jour, pas encore annoncé un retour à la normale. Une enquête interne a révélé qu’aucune information n'aurait été volée, de même que le maliciel ne se serait pas propagé parmi les clients d'Altran, qui incluent des entreprises dans les secteurs de l’énergie, de l’aéronautique et des transports.

LockerGoga a été pour la première fois aperçu le 22 janvier sur un site Internet malveillant rassemblant des instructions permettant de retirer un maliciel de son système. Deux jours plus tard, des extraits du code, l'un provenant de Roumanie, l'autre des Pays-Bas, ont été mis en ligne sur la plateforme VirusTotal pour analyse. Altran dispose de filiales dans ces deux régions.

Détails techniques :

En tant que rançongiciel, Lockergoga est conçu pour chiffrer les fichiers contenus sur le système de sa victime. Une analyse du malware réalisée par @SwitHak, un utilisateur Twitter travaillant dans la cybersécurité, a révélé que :

  • Ce rançongiciel s'attaquait par défaut à la plupart des fichiers de la suite Office, bien qu'il puisse également être paramétré pour chiffrer tout type de fichier ;
  • Une fois l'opération réalisée, les fichiers sont suffixés de l’extension ".locked" et un document "Readme.txt" est créé. Dans ce dernier sont contenues des instructions pour la rançon, la victime est ainsi invitée à contacter une adresse courriel afin de réaliser un paiement en bitcoins débloquant le déchiffrement de ses données ;
  • Ce fichier "Readme", bien qu'indiquant utiliser les algorithmes de chiffrement AES-256 et RSA, ne fournit pas de véritables informations techniques. Les procédés de chiffrement utilisés ne sont donc pas confirmés.

Le blog dédié à la sécurité Bleeping Computer a pu également tester le maliciel. Dans un article publié le 30 janvier, l'auteur décrit LockerGoga comme lent et poussif, principalement dû au fait que le programme génère un nouveau processus pour chaque fichier qu'il chiffre. De manière générale le code présente une faible complexité. Ce rançongiciel est conçu pour infecter les dossiers partagés auxquels la victime pourrait avoir accès, mais ne présente aucun mécanisme de propagation exploitant des vulnérabilités connues, le programme n'important aucune des bibliothèques logicielles Windows (DLL) utilisées pour la programmation réseau.

Selon un ingénieur de McAfee, LockerGoga à été signé avec un certificat valide, appartenant à la société MIKL Ltd créée en 2014. Cela permet alors au programme de contourner certains mécanismes de protection mis en place sur Windows et de soulever moins de suspicions sur sa légitimité. Le certificat a été depuis révoqué par l'autorité de certification Comodo. Aucune activité n'a été enregistrée pour MIKL Ltd ce qui laisse supposer qu'elle n'a fait office que de société-écran.

En dehors du seul communiqué de presse publié le 28 janvier, aucune information n'a depuis été diffusée par Altran. Afin de se prémunir contre de telles attaques, l'ANSSI recommande aux utilisateurs de ne pas ouvrir de pièces jointes suspectes, ni d’exécuter les macros des documents dont l'origine est incertaine. De plus, il est nécessaire de s'assurer de la cohérence entre le texte d'un hyperlien et le chemin d'accès associé, afin d'éviter toute redirection vers un site malicieux.