Locky, un nou atac malware devastator.
Cisco ne informeaza ca nu am scapat de Locky, atacul malware care a facut dezastru anul trecut prin atacurile informatice. Cu ajutorul campaniilor Locky au fost trimise milioane de emailul malitioase si periculoase pentru destinatari.
Locky s-a numarat printre principalele forte devastatoare in anul precedent in ceea e priveste campul spam si ransomware. Doar partea de ransmoware a lui Locky a reusit sa trimita zilnic un numar gigant de mesaje spam, principalul propulsor al acestui trafic fiind Necurs. Necurs este o retea uriasa te tip botnet. Aceasta retea este principalul vinovat pentru cea mai mare parte a activitatiilor Locky si Dridex. Necurs este atat ce complex si foarte bine dezvoltat incat are intervale de timp in care se dezactiveaza iar activitatile Locky si Dridex se reduc semnificativ. Cisco ne informeaza ca in prezent parcurgem o astfel de perioada iar apele calme anunta cu siguranta o furtuna.
Inca de la sfarsitul anului trecut nu a mai fost observata nicio activitate alimentata de Necurs. Chiar daca apele au fost mai line, recent s-a putut observa o activitate a lui Locky. Cu toatea cestea, volumul de spam nu a mai fost de o asemenea amploare precum anul trcut.
Toate campaniile au fost analizate de specialistii in securitate de la centrul Talos. Acestia au descoperit recent campanii cu volum redus de trafic dar care distribuiau mallware-ul Locky prin intermediul obisnuitului mail.
In una dintre campaniile analizate, s-a observat ca mesajele nu aveau continut sau subiect ci doar un atasament arhivat. Aceasta arhiva continea la randul ei o alta arhiva. Daca aceasta era extrasa, isi faceau aparitia cateva documente cu extensii duble pentru a induce utilizatorii in eroare. De exemplu, daca se voia ca utilizatorului sa i se para ca are in fata un document text, fisierul din arhiva arata cam asa: document.doc.js. Setarile standard ale sistemelor de operare impiedica afisarea extensiei principale. Astfel fisierul nostru era afisat ca document.doc. Din pacate, acest fisier contine de fapt un cod javascript malitios.
Locky, un nou atac malware devastator
O alta campanie analizata de Talos este mult mai complexa. Continutul mesajelor facea referire la o tranzactie bancara esuata. Aceasta tactica de spam se foloseste de mult timp si este ceva obisnuit in strategiile de spam. Modalitatea de raspandire a lui Locky se face in acelasi fel ca in campania de mai sus doar ca de data aceasta, utilizatorul este mult mai tentat sa deschida fisierele avand in vedere ca este vorba de o tranzactie bancara.
Talos foloseste aceste analize pentru a se pregati impotriva unor noi atacuri cibernetice. Astfel, intrebarea care apare este: Cand Necurs va deveni din nou functional si va face parte din nou din operatiunea ce presupune raspandirea Locky si Dridex?
Necurs poate raspandi mesajele malitioase (spam) prin intermediul unei liste de 400 000 de ip-uri. Totusi Talos ne informeaza ca aceasta lista a fost redusa la 50 000 de ip-uri. Temerile apar in momentul in care Nercus va redeveni functional
Motivul pentru care sunt facute aceste campanii de spam este profitul. Acesta poate ajunge si la un miliard de dolari anual.
Pentru a ne proteja de aceste atacuri trebuie sa sporim gradul de atentie si sa evitam mailurile suspecte sau ciudate. In plus, CISCO ne ofera solutii importante ce ne ajuta impotriva acestor tipuri de atacuri.