0
Locky is terug.
Afbeelding: Cisco Talos
Een van de meest succesvolle familie van ransomware is terug opnieuw, met een nieuwe e-mail spam-campagne ontworpen om slachtoffers te infecteren met het bestand-het versleutelen van malware.
Locky was een van de eerste belangrijke vormen van ransomware geworden om wereldwijd succesvol en op een gegeven moment was een van de meest voorkomende vormen van malware in zijn eigen recht.
Echter, aanvallen verspreiden Locky zijn gedaald dit jaar, en terwijl het was ooit de koning van ransomware, de titel is toegeëigend — Cerber nu domineert de markt.
Maar dat betekent niet dat Locky niet langer een bedreiging. Na het donker voor een paar maanden, zelfs tot op het punt waar het niet verspreid bij alle — de ransomware is weer wordt verspreid via de Necurs botnet.
Maar dit keer wordt verdeeld met een nieuwe extensie genaamd Diablo6, volgens Malwarebytes onderzoekers die hebben waargenomen in de nieuwe campagne. De nieuwe Diablo variant roept weer een andere command and control server dan de vorige Locky campagnes.
Net als andere ransomware gezinnen, Locky wordt verspreid via het gebruik van spam-e-mails; deze bijzondere campagne stuurt hen in de vorm van PDF-bijlagen met ingesloten .DOCM-bestanden.
Als de gebruiker downloadt de bijlage en kunnen macro ‘ s als de lading verzoeken, zij zullen het spoedig zien dat ze verloren hebben toegang tot de bestanden op hun computer en vertelde dat ze nodig hebben om te betalen van een losgeld om de “private key” van het “geheim server” van de aanvallers.
Terwijl Locky is veel minder voor dan het is, het blijft een risico voor organisaties vanwege de sterke cryptografie en het feit dat de mensen achter het nog steeds updaten en wijzigen van het laadvermogen en de tactieken die gebruikt worden om dit te realiseren.
Zie ook: Ransomware: Een executive gids naar één van de grootste bedreigingen op het web
“De ups en downs van Locky blijft gehuld in mysterie. Een ding dat de tijd ons heeft geleerd is dat we nooit moeten aannemen Locky is gegaan, simpelweg omdat het niet actief zijn op een bepaald moment, ‘ zei Marcelo Rivero, intelligence analist bij Malwarebytes.
Het is niet de eerste keer Locky is terug, na schijnbaar verdwijnen. Het bleek te stoppen met activiteiten tijdens de Kerst van 2016, toonaangevende onderzoekers speculeren dat de ontwikkelaars hadden een pauze genomen over de feestdagen. Zeker genoeg, het opnieuw verscheen in januari en infecties zijn toegift en neer sinds die tijd.
De plotselinge terugkeer van Locky, kan mogelijk worden toegeschreven aan de ontsleuteling tools voor Jaff ransomware wordt gratis ter beschikking gesteld in juni. Jaff in Mei verschenen en verspreid werd door de dezelfde Necurs botnet gebruikt voor het distribueren van Locky.
Cybercriminelen implementeren ransomware omdat het hen in staat stelt te profiteren van hoge beloningen met weinig inspanning. Het kan dus het geval zijn dat zodra Jaff — die eisten een losgeld van $4.000 en gebruikt een decryptor bijna identiek aan dat van Locky — werd gekraakt door security professionals, de criminelen achter het gewoon terug gegaan naar het gebruik van Locky.
Terwijl die achter Locky moet nog worden vastgesteld, hebben de onderzoekers geconstateerd dat de ransomware verwijderen van de geïnfecteerde machine als de lokale taal is russisch, mogelijk in de richting van de geografische locatie van de ontwikkelaars.
Vorige dekking
De peetvader van de ransomware resultaat: Locky is terug en sneakier dan ooit
Na een mysterieuze verdwijning, Locky heeft reemerged — en is het lenen van een aanval van technieken uit de Dridex.
Locky ransomware: Hoe deze malware dreiging geëvolueerd in slechts 12 maanden
Malware krijgt meerdere updates als het probeert om detectie te vermijden door beveiligingsbedrijven.
Locky ransomware-campagne slaagt de vrees van gegevens gestolen in OPM hack
E-mails vertellen slachtoffers die ze nodig hebben om te downloaden van een bijlage om te bekijken ‘verdachte activiteit’ – dan infecteert ze met ransomware.
LEES MEER OVER CYBERCRIMINALITEIT
Ransomware: De smart person ‘ s guide [TechRepublic] Niet meer ransomware: Hoe een website is het stoppen van de crypto-vergrendeling boeven in hun tracksAfter WannaCry, ransomware zal slechter worden, voordat het wordt betterMalware komt nu met de klantenservice van [CNET]Cybercrime Inc: Hoe hacking bendes zijn het modelleren van zelf op big business
0