Zero
Perché questo particolare minaccia di cyber mantenere l’allevamento sua brutta testa?
Immagine: iStock
E ‘ stato probabilmente l’incidente che ha spinto la minaccia di ransomware in vista di tutto il mondo, oltre un anno prima della WannaCry scoppio.
Nel mese di febbraio 2016, Hollywood Presbyterian Medical Center di Los Angeles, in California, si sono infettate con Locky ransomware. L’infezione sistemi crittografati in tutta la struttura, chiusura staff di computer e di record elettronici.
Alla fine, l’ospedale ha pagato un riscatto di 40 Bitcoins – quindi equivalente a $17,000 – al fine di acquisire le chiavi di decrittazione per ripristinare i dati.
“Il modo più veloce ed efficiente per ripristinare i nostri sistemi e le funzioni amministrative è stato per pagare il riscatto e ottenere la chiave di decodifica. Nel migliore interesse di ripristinare la normale operatività, abbiamo fatto questo,” Allen Stefanek, presidente di Hollywood Presbyterian Medical Center, ha detto al momento.
Locky andato su per le vittime della peste in tutto il mondo durante la maggior parte del 2016 con molti non vedendo alternative, al di là di pagamento.
Questo particolare ceppo di ransomware è stato così prolifico che entro il mese di novembre è stato uno dei più comuni minacce malware.
Ma poi Locky scomparso nel dicembre 2016, spingendo alcuni cyber security ricercatori a suggerire che chi sta dietro è semplicemente andato in una pausa di Natale. Alla fine ri-emersi nel mese di gennaio, ma solo in una piccola frazione di casi rispetto a quando era al suo apice e le infezioni sono state chiodare e cadere da sempre.
Per esempio, dopo mesi di quasi zero attività, l’ex re di ransomware improvvisamente restituito nel mese di agosto e in grande stile, come milioni di phishing e-mail contenente un Locky payload improvvisamente invaso le caselle di posta. Non solo, ma le potenziali vittime sono mirati con nuovi ceppi di Locky – Diablo e Lukitus.
Ma perché questo ransomware andare così tranquilla, in primo luogo?
Nessuno sa chi è esattamente dietro Locky, ma la raffinatezza del ransomware, e la forza del sottostante di crittografia che i ricercatori non sono stati in grado di decifrare, punti per essere il lavoro di un personale altamente professionale.
Come un legittimo sviluppatore di software sono costantemente al lavoro per aggiornare il loro prodotto, e a differenza di altre forme di ransomware, Locky non è disponibile ‘as-a-service’ per altri usi, quindi è possibile che le campagne vai tranquillo, come quelli che si trovano dietro a lavorare sul loro codice o sperimentare nuove tattiche.
“La tregua che abbiamo visto dal Locky era probabilmente solo un pianificato pull-back sugli attaccanti. Come ogni organizzazione, hanno bisogno di tempo per affinare il codice e comando-e-controllo delle infrastrutture, il piano di nuovi vettori di attacco, organizzare riscatto di pagamento metodi di raccolta e compilazione dei nuovi elenchi di obiettivi”, ha detto Troy Gill, direttore della ricerca sulla sicurezza AppRiver.
Ogni volta che Locky ha brevemente ri-emerse prima apparentemente scomparire durante il corso di quest’anno, è stato fatto qualcosa di un po ‘ diverso, suggerendo che quelli dietro si stanno sperimentando.
Per esempio un Locky picco nel mese di aprile ha visto la ransomware flirtare con una nuova tecnica di distribuzione con la distribuzione via infetta i file Pdf invece di documenti di Office, una tattica associati con la Dridex malware, botnet. Quindi potrebbe essere che il ransomware va semplicemente collegato come quelli dietro esaminare malware tendenze e come si può implementare in Locky per farlo diventare più successo.
Vedi anche: Ransomware: Un esecutivo a guida di una delle più grandi minacce sul web
“La tempistica di queste rimonte corrisponde a stretto contatto con l’introduzione di nuovi attributi come l’ultima Diablo e Lukitus estensioni per i file in allegato e l’utilizzo di nuove tecniche di distribuzione che coinvolge documenti PDF o link di phishing”, afferma Brendan Griffin, threat intelligence manager presso PhishMe.
“In questi periodi di Locky assenza sono utilizzati come una possibilità di costruire, con i loro successi e trovare nuovi, modi più intelligenti per fornire loro ransomware”.
Locky viene distribuito tramite il Necurs botnet – un esercito di zombie di oltre cinque milioni di hacked dispositivi e le ransomware sembra andare fuori del radar quando la botnet è stato utilizzato per altre attività. Per esempio, Necurs ri-emersi a seguito di un periodo di inattività nel mese di Marzo, il suo potere, è stata sfruttata per distribuire e-mail stock truffe.
I mesi successivi videro la continuazione dell’attività dannose, con Necurs di spostare la distribuzione di Jaff ransomware.
Mentre meno sofisticato di Locky, i ricercatori credono Jaff e Locky per essere collegato. Non solo il Jaff decryptor sito web e il Locky decryptor siti web sembrano quasi identici, ma come Locky, il ransomware verrà eliminato automaticamente dalla macchina infetta se la lingua locale è il russo.
A differenza del caso di Locky, i ricercatori sono stati in grado di in grado di costruire uno strumento di crittografia per Jaff, la cui distribuzione è diminuito da quando è stato rilasciato nel mese di giugno.
Da allora, il Necurs botnet è tornato a distribuire Locky, il che potrebbe indicare che, mentre essi possono sperimentare altre forme di attività cyber criminali, quelli dietro Locky vedo come uno strumento affidabile per ricadere sul perché funziona e genera entrate.
“Locky è un incredibilmente potente e ben sviluppato pezzo di ransomware”, dice Adam Kujawa direttore di malware intelligence di Malwarebytes. “Alla fine della giornata, i cattivi vogliono fare soldi e qualsiasi software che si possono mettere le mani su per fare che questo accada”.
Così, mentre Locky è successo, quelli dietro sono opportunisti e sono costantemente alla ricerca di altri mezzi per fare soldi – e se questo significa cadere Locky in favore di qualcos’altro.
Ma per ora, Locky resta successo, perché se le vittime non erano ancora pagando riscatti, gli aggressori avrebbero rapidamente sposta su qualcos’altro. Ma 18 mesi dalla Hollywood Presbyterian Medical Center di attacco, è ancora qui e non è ancora successo infiltrazione di reti.
Ransomware resti di successo perché funziona, perché abbastanza persone si infettano dopo essere stato ingannato da e-mail di phishing e abbastanza organizzazioni cedere e pagare il riscatto per riguadagnare l’accesso ai loro sistemi, soprattutto in quanto non c’è ancora alcun strumento di crittografia disponibili.
Messo semplicemente, Locky mantiene la restituzione di quanto è successo. Così la prossima volta sembra andare in silenzio, non fanno alcuna ipotesi circa il ransomware di essere morto – è probabile che appena andato offline, mentre quelli dietro per rendere ancora più efficace.
PER SAPERNE DI PIÙ SULLA CRIMINALITÀ INFORMATICA
Dopo WannaCry, ransomware è destinata a peggiorare prima di arrivare betterRansomware: La persona intelligente guida [TechRepublic]Non più ransomware: Come un sito web è fermare la crypto-chiusura criminali nel loro tracksRansomware si chiude 1 a 5 piccole imprese dopo colpisce [CNET]Ransomware si gira ancora di più selvaggia: la Distruzione, non il profitto, diventa il vero obiettivo
0