Noll
Varför just detta cyber hot hålla uppfödning sitt fula tryne?
Bild: iStock
Det var utan tvekan den händelse som drivit hotet av ransomware i hela världen, över ett år innan WannaCry utbrott.
I februari 2016, Hollywood Presbyterian Medical Center i Los Angeles, Kalifornien blev smittad med Locky ransomware. Infektionen krypterade system i hela anläggningen, låser personalen in av datorer och elektroniska register.
Så småningom, sjukhuset betalade en lösensumma på 40 Bitcoins – då motsvarande 17 000 dollar för att förvärva dekrypteringsnyckeln för att återställa data.
“Det snabbaste och mest effektiva sättet att återställa våra system och administrativa funktioner var att betala lösen och få dekrypteringsnyckeln. I bästa intresse för att återställa den normala verksamheten, vi gjorde detta,” Allen Stefanek, ordförand i Hollywood Presbyterian Medical Center sade på den tiden.
Locky gick på att pesten offer runt om i världen under de flesta av 2016 med många ser inget annat alternativ än att betala upp.
Denna speciella stam av ransomware var så produktiv som i November var det en av de vanligaste skadliga hot i sin egen rätt.
Men då Locky försvann i December 2016, vilket fick en del it-säkerhet forskare som tyder på att de som står bakom det gick helt enkelt på jullovet. Så småningom dök upp i januari, men bara i en bråkdel av fallen, jämfört med när det var på sin höjd och infektioner har varit spetsa och släppa allt sedan dess.
Till exempel, efter månader av nästan noll-aktivitet, den tidigare kungen av ransomware plötsligt tillbaka i augusti och i stort sätt som miljontals phishing e-postmeddelanden som innehåller en Locky nyttolast plötsligt överfulla inkorgar. Inte bara det, men de potentiella offren är riktade med nya stammar av Locky – Diablo och Lukitus.
Men varför denna ransomware gå så lugnt i första hand?
Ingen vet exakt vem som ligger bakom Locky, men förfining av ransomware, och styrkan i den underliggande kryptografi som forskarna inte har kunnat spricka, pekar på att det är ett verk av en mycket professionell grupp.
Som ett legitimt software developer de arbetar ständigt för att uppdatera sin produkt, och till skillnad från andra former av ransomware, Locky är inte tillgänglig ‘as-a-service” för andra att använda, så det är möjligt kampanjer gå tyst som de som står bakom det arbete på sin kod eller experimentera med nya taktik.
“Den respit vi såg från Locky var sannolikt bara en planerad dra-tillbaka på angriparna del. Som vilken organisation som helst, de behöver tid för att förfina kod och kommando-och-kontroll infrastruktur, planera nya angreppsvinklar, organisera lösen betalning metoder för insamling och sammanställa nya listor med mål,” sa Troy Gill, chef för säkerhetsforskning på AppRiver.
Varje gång Locky har kort åter dykt upp innan till synes försvinna under loppet av detta år, det har varit att göra något lite annorlunda, vilket tyder på att de som står bakom det är att experimentera.
Till exempel en Locky spik i April såg ransomware flirt med en ny leverans teknik med distribution via en infekterad Pdf-filer istället för Office-dokument, en taktik i samband med Dridex malware botnät. Så kan det vara så att ransomware helt enkelt går offline så att de bakom den undersöka malware trender och hur de kan genomföra dem i Locky för att det ska bli mer framgångsrika.
Se även: Ransomware: En verkställande guide till en av de största hot på webben
“Tidpunkten för dessa svar på tal matcher i nära samarbete med införandet av nya attribut till exempel den senaste Diablo och Lukitus filnamnstillägg för bifogade filer och användning av nya distributions-tekniker med PDF-dokument eller phishing-länkar,” säger Brendan Griffin, threat intelligence manager på PhishMe.
“Dessa perioder av Locky avsaknad används som en chans att bygga på sina framgångar och hitta nya, smartare sätt att leverera sina ransomware”.
Locky distribueras via Necurs botnät – zombie armé av över fem miljoner hackade enheter – och den ransomware verkar gå off the radar när botnät används för annan verksamhet. Till exempel, Necurs dykt upp igen efter en period av inaktivitet i Mars med sin makt utnyttjas för att distribuera e-post lager scams.
De följande månaderna fortsatte skadlig aktivitet, med Necurs en övergång till distribution av Jaff ransomware.
Medan mindre sofistikerad än Locky, forskare tror Jaff och Locky att vara ansluten. Inte bara Jaff decryptor webbplats och Locky decryptor webbplatser ser nästan identiska, men som Locky, ransomware kommer att ta bort sig själv från den infekterade maskinen om den lokala språket är ryska.
Till skillnad från fallet av Locky, forskarna har kunnat för att kunna konstruera en dekryptering verktyg för Jaff, utbredning har minskat sedan den släpptes i juni.
Sedan dess Necurs botnät har återvänt för att distribuera Locky, vilket kan tyda på att även de kan experimentera med andra former av it-brottslig verksamhet, de som står bakom Locky se det som ett tillförlitligt verktyg för att falla tillbaka på – eftersom det fungerar och genererar intäkter.
“Locky är en oerhört kraftfull och väl utvecklade bit av ransomware, säger Adam Kujawa direktör malware intelligens på Malwarebytes. “I slutet av dagen, skurkarna vill tjäna pengar och de kommer att använda vilka program de kan få tag på för att få det att hända”.
Så medan Locky är framgångsrik, att de bakom den är opportunistisk och är ständigt på jakt efter andra sätt att tjäna pengar – och om det innebär att släppa Locky i förmån för något annat så får det vara så.
Men för nu, Locky förblir framgångsrika – för om offren inte var fortfarande betala lösensummor, angriparna skulle gå snabbt till något annat. Men 18 månader från Hollywood Presbyterian Medical Center attacken, den är fortfarande här och det är fortfarande lyckas infiltrera nätverk.
Ransomware är fortfarande framgångsrik eftersom den fungerar, för att tillräckligt många människor blir smittade efter att luras av nätfiske-e-post och tillräckligt organisationer kommer att ge upp och betala lösen avgift för att få tillgång till deras system – särskilt som det finns fortfarande ingen dekryptering verktyg som finns att tillgå.
Enkelt uttryckt, Locky håller tillbaka eftersom det är framgångsrikt. Så nästa gång det visas att gå tyst, inte göra några antaganden om ransomware är död – det är troligt att det bara gått offline medan de som står bakom det arbete för att göra det ännu mer effektivt.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Efter WannaCry, ransomware kommer att bli värre innan det blir betterRansomware: smart person ‘ s guide [TechRepublic]Ingen mer ransomware: Hur en hemsida är att stoppa crypto-låsning skurkar i sin tracksRansomware stänger 1 i 5 små företag efter det träffar [MAG]Ransomware blir ännu elakare: Förstörelse, inte vinst, blir det verkliga målet
0