Il s'est fait baptiser Volcano Demon par l'équipe de chercheurs qui l'ont… trouvé et sévit depuis peu. Ce nouveau gang diffuse un ransomware, LikaLocker, gourmand de Windows et Linux, qui chiffre les fichiers avec l’extension « .nba ». Rien à voir avec le basket. Sa particularité ? Harceler ses victimes par téléphone pour obtenir une rançon.
Oubliez les e-mails menaçants ou les messages cryptés sur des sites de fuite de données. Ces pirates ont décidé de mouiller la chemise et décrocher leur téléphone pour mettre la pression sur leurs victimes.
Ce groupe, actif depuis seulement quelques semaines, a déjà réussi à infiltrer plusieurs entreprises. Son arme de prédilection, un ransomware baptisé LukaLocker, est capable de s'attaquer aussi bien aux systèmes Windows que Linux. Une fois déployé, ce logiciel malveillant chiffre les fichiers de sa victime, les rendant inaccessibles. C'est là que commence le véritable calvaire pour les entreprises touchées.
LukaLocker, un ransomware redoutable doublé d'un gang au téléphone rouge
Le ransomware LukaLocker n'est pas un simple logiciel de chiffrement. C'est une véritable usine à gaz conçue pour échapper aux systèmes de détection les plus pointus. Écrit en C++ et compilé pour les architectures 64 bits, il utilise des techniques d'obscurcissement du code pour passer sous les radars des antivirus. Mais ce n'est pas tout. Avant même de commencer son travail de sape, LukaLocker fait le ménage. Il désactive une kyrielle de services et de processus, allant des antivirus aux outils de sauvegarde, en passant par les bases de données et les logiciels de virtualisation.
Une fois le terrain dégagé, le ransomware se met à l'œuvre. Il chiffre les fichiers de sa victime en utilisant l'algorithme Chacha8, leur accolant l'extension .nba. Mais là où Volcano Demon sort vraiment du lot, c'est dans sa stratégie post-infection. Exit les traditionnels sites de fuite de données. Le gang préfère jouer la carte du contact direct. Les dirigeants et responsables IT des entreprises ciblées se retrouvent assaillis d'appels téléphoniques, parfois quotidiens, provenant de numéros masqués. Au bout du fil, des voix menaçantes qui exigent le paiement d'une rançon. Une méthode qui rappelle les pires cauchemars du démarchage téléphonique, mais avec des conséquences autrement plus graves.
Comment reconnaître l'attaque et réagir face à ce type de harcèlement ?
Comme ses collègues, Volcano Demon n'est pas un gang né de la dernière pluie en matière de sophistication, et a fait de LukaLocker un malware pratiquement indétectable. Cependant, quelques signes peuvent mettre la puce à l'oreille. Si vos fichiers se retrouvent soudainement affublés de l'extension .nba, c'est mauvais signe. De même, si vos antivirus et autres outils de sécurité semblent mystérieusement désactivés, il y a de quoi s'inquiéter. Enfin, l'apparition d'une note de rançon sur vos écrans lève le doute: vous êtes bel et bien victime de Volcano Demon.
Que faire si vous recevez des appels de ce gang ?
Gardez votre calme
Ne cédez pas à la panique et surtout, ne prenez aucune décision hâtive. Contactez immédiatement les autorités compétentes, déposez plainte en ligne, et pensez également à votre assurance, si vous en avez une qui couvre ce type de risque.
Surtout, ne payez pas la rançon !
Rien ne garantit que vous récupérerez vos données, et cela ne fera qu'encourager les criminels. Pour rappel, et même s'il ne s'agit pas du même public ciblé, près de 80 % des entreprises victimes de ransomware, et qui ont accepté de payer une première fois, ont dû débourser par la suite. Les hackers, on leur donne le doigt… ils prennent le bras.
Soyez prévoyant
Assurez-vous que vos systèmes sont toujours à jour. Mettez en place une politique de sauvegardes régulières, stockées hors ligne et hors site. Utilisez une authentification à deux facteurs partout où c'est possible. Enfin, investissez dans des solutions de sécurité robustes, que ce soient un antivirus ou un détecteur de ransomwares capables de détecter et de bloquer les menaces les plus récentes.