Consecinţele breşei OPM: Locky exploatează datele furate de la utilizatori

S-a admis faptul că virusul Locky a fost una dintre cele mai active infecţii cibernetice din prima jumătate a acestui an. Chiar şi aşa, cu abordările extinse de distribuţie, nu se aşteaptă ca acest virus să renunţe ceva timp la poziţia de conducere. De fapt, recent, a fost estimat faptul că 97% din ataşamentele maliţioase ale email-urilor poartă virusul Locky sau o altă versiune modificată a acestuia. Printre aceste versiuni se află Thor, virusul Shit, Ransomware-ul Perl şi posibil, câteva alte versiuni maliţioase ale lui Locky, pe care experţii încă nu le ştiu.

Vorbind despre distribuirea lui Locky şi metodele de infiltrare, am greşi dacă am spune că nu este ceva nou de învăţat în fiecare zi. De exemplu, la începutul lui noiembrie, analiştii de viruşi au dezvăluit că o altă campanie majoră de promovare maliţioasă, ShadowGate, răspândeşte două versiuni ale lui Locky prin intermediul kitului de exploatare Bizarro Sundown. Este o adiţie nouă şi periculoasă a kiturilor Angler şi Rig pe care dezvoltatorii lui Locky le-au folosit iniţial la distribuirea virusului. Însă, probabil, cea mai esenţială descoperire care poate avantaja utilizatorii este cea făcută de către echipa PhishMe.

Cercetătorii de la PhishMe au descoperit o nouă tactică utilizată de către hackeri pentru a înşela utilizatorii să descarce ataşamentele email-urilor ce purtau sarcina utilă Locky. Experţii o numesc OPM Bank Fraud sau pur şi simplu escrocheria OPM. OPM înseamnă US Office of Personnel Management — o instituţie sub numele căreia hackerii livrează potenţialelor victime o notificare frauduloasă ce îi avertizează despre o presupusă ofensă financiară. Utilizatorii primesc următorul mesaj:

Dragă [NUME],
Carole de la bancă ne-a notificat despre modificările suspicioase ale contului tău. Examinează înregistrarea scanată, ataşată. Dacă ai nevoie de mai multe informaţii, contactează-mă.

Acest email este acompaniat de către un ataşament de tip ZIP, care ascunde un fişier JavaScript infecţios. Trebuie doar ca utilizatorul să deschidă fişierul, şi descărcarea lui Locky începe imediat. Este interesant faptul că virusul ţinteşte în mod specific victimele breşei OPM care a avut loc în 2014 şi 2015. Cu alte cuvinte, creatorii lui Locky ţintesc să exploateze frica fostelor victime ale crimei cibernetice, pentru a le infecta calculatoarele. Pentru a-şi ascunde urmele, hackerii au utilizat deja peste 323 de nume unice de ataşamente, în timp ce sarcina utilă a virusului a fost descărcată de pe 78 de URL-uri distincte. Astfel de practici îngreunează detectarea şi prevenirea virusului, şi în general, duce distribuirea ransomware-ului la un alt nivel. Deci, acţionarii companiilor sunt sfătuiţi să îşi informeze angajaţii despre precauţiile de securitate online, şi să aleagă o soluţie de păstrare a datelor, demnă de încredere.

Despre autor
Linas Kiguolis
Linas Kiguolis

Expert în lupta contra malware-ului, viruşilor şi a spyware-ului...

Contactați Linas Kiguolis
Despre compania Esolutions

Citiţi în alte limbi