Nul
Hvorfor er netop denne cyber trussel holde stikker sit grimme hoved frem?
Billede: iStock
Det var nok den hændelse, der skubbede trussel af ransomware i udsigt i den hele verden, over et år før den WannaCry udbrud.
I februar 2016, Hollywood University Medical Center i Los Angeles, Californien, blev smittet med Locky ransomware. Infektionen krypterede systemer i hele anlægget, låser personalet ude af computere og elektroniske registre.
I sidste ende, hospitalet betalt en løsesum på 40 Bitcoins – så svarer til $17,000 for at erhverve dekryptering-tasten for at gendanne sine data.
“Den hurtigste og mest effektive måde at genoprette vores systemer og administrative funktioner var til at betale løsepenge, og få dekrypteringsnøgle. I den bedste interesse for at genoprette normal drift, vi gjorde det,” Allen Stefanek, præsident af Hollywood University Medical Center sagde på det tidspunkt.
Locky gik på at plage ofre rundt omkring i verden i de fleste af 2016 med mange ser ikke noget alternativ ud over at betale op.
Denne særlige stamme af ransomware var så frodig, at ved November det var en af de mest almindelige malware-trusler i sin egen ret.
Men så Locky forsvandt i December 2016, hvilket fik nogle cyber security forskere til at foreslå, at dem, der står bag det simpelthen gik på en juleferien. Det er til sidst igen op i januar, men kun i en meget lille brøkdel af de tilfælde, i forhold til da det var på sit højeste og infektioner har været at tilsætte og faldende lige siden.
For eksempel, efter måneder næsten nul-aktivitet, den tidligere konge af ransomware pludselig tilbage i August og i en stor måde som millioner af phishing-e-mails, der indeholder en Locky nyttelast pludselig oversvømmet indbakker. Ikke kun det, men potentielle ofre er målrettet med nye stammer af Locky – Diablo og Lukitus.
Men hvorfor har denne ransomware gå så stille i første omgang?
Ingen ved, hvem der står bag Locky, men det sofistikerede ransomware, og styrken af det bagvedliggende kryptografi, som forskere ikke har været i stand til at knække, peger på at det er arbejdet af en yderst professionel gruppe.
Som en legitim software udvikler de er i konstant arbejder på at opdatere deres produkt, og i modsætning til andre former for ransomware, Locky er ikke til rådighed “as-a-service’ for andre at bruge, så det er muligt kampagner gå stille som dem, der står bag på det arbejde på deres kode eller eksperimentere med nye taktik.
“Pusterum, så vi fra Locky blev sandsynligvis bare en planlagt pull-back på angriberne del. Ligesom enhver organisation, de har brug for tid til at finpudse koden og kommando-og kontrol-infrastruktur, planlægge nye angrebsvinkler, organisere løsesum betaling samling metoder og opstille nye lister af mål,” sagde Troy Gill, leder af forskning i sikkerhed på AppRiver.
Hver gang Locky har kort igen op før tilsyneladende forsvinder i løbet af dette år, det har været at gøre noget lidt anderledes, hvilket tyder på, at dem, der står bag det er at eksperimentere.
For eksempel en Locky spike i April, så ransomware flirte med en ny levering teknik med distribution via en inficeret Pdf-filer i stedet for Office-dokumenter, en taktik, der er forbundet med Dridex malware botnet. Så kunne det være, at ransomware simpelthen går den offline, som dem, der står bag den undersøge, malware tendenser, og hvordan de kan gennemføre dem i Locky for det at blive mere succesfulde.
Se også: Ransomware: executive-guide til en af de største trusler på nettet
“Timingen af disse comebacks kampe, sammen med den introduktion af nye egenskaber såsom den seneste Diablo og Lukitus filtypenavne for vedhæftede filer, og brug af ny distribution teknikker, der involverer PDF-dokumenter-eller phishing-links,” siger Brendan Griffin, threat intelligence manager hos PhishMe.
“Disse perioder af Locky fravær anvendes som en chance for at bygge videre på deres succeser og finde nye, smartere måder at levere deres ransomware”.
Locky distribueres via Necurs botnet – en zombie hær af over fem millioner hacket enheder – og den ransomware ser ud til at gå off the radar, når de botnet bruges til anden aktivitet. For eksempel, Necurs genopstået efter en periode med inaktivitet i Marts med sin magt blev udnyttet til at distribuere e-mail lager-svindel.
De følgende måneder fortsatte ondsindet aktivitet, med Necurs at flytte til distribution af Jaff ransomware.
Mens mindre sofistikeret end Locky, forskere mener, Jaff og Locky til at være tilsluttet. Ikke kun gøre de Jaff decryptor hjemmeside og Locky decryptor hjemmesider ser næsten identiske, men som Locky, den ransomware vil slette sig selv fra den inficerede maskine, hvis det lokale sprog er russisk.
I modsætning til de tilfælde af Locky, har forskerne været i stand til at kunne konstruere en dekryptering værktøj til Jaff, distribution, som er faldet siden det blev udgivet i juni.
Siden da, Necurs botnet er vendt tilbage for at distribuere Locky, som kan indikere, at mens de kan eksperimentere med andre former for cyber kriminel aktivitet, dem, der står bag Locky se det som et pålideligt værktøj til at falde tilbage på – fordi det virker og genererer indtægter.
“Locky er en utrolig stærk og veludviklet stykke ransomware,” siger Adam Kujawa direktør for malware intelligens på Malwarebytes. “I slutningen af den dag, de slemme fyre, der ønsker at tjene penge, og de vil bruge det software, de kan få deres hænder på at få det til at ske”.
Så mens Locky er en succes, er dem, der står bag det er opportunistisk og er konstant på udkig efter andre måder at tjene penge – og hvis det betyder, at droppe Locky til fordel for noget andet, så må det være sådan.
Men for nu, Locky er fortsat en succes – fordi, hvis ofre ikke var stadig betale løsepenge, angriberne ville hurtigt gå videre til noget andet. Men 18 måneder på fra Hollywood University Medical Center angreb, det er her stadig og det er stadig held til at infiltrere netværk.
Ransomware er fortsat en succes, fordi det virker, fordi der er nok folk, der bliver smittet efter at være blevet ført bag lyset af phishing e-mails og nok organisationer, der vil give og betale den løsesum gebyr for at få adgang til deres systemer – især da der stadig ikke dekryptering værktøj til rådighed.
Simpelthen sætte, Locky holder vender tilbage fordi det er en succes. Så næste gang det ser ud til at gå stille, ikke gøre nogen antagelser om ransomware er død – det er sandsynligt, at det er lige gået offline, mens dem, der står bag det arbejde for at gøre det endnu mere effektivt.
LÆS MERE OM IT-KRIMINALITET
Efter WannaCry, ransomware vil blive værre, før det bliver betterRansomware: smart person ‘ s guide [TechRepublic]Ikke mere ransomware: Hvordan en hjemmeside er at stoppe crypto-låsning skurke i deres tracksRansomware lukker ned 1 i 5 små virksomheder, når det rammer [CNET]Ransomware viser endnu grovere: Ødelæggelse, ikke overskud, bliver det virkelige mål
0