Nul

Waarom heeft deze dreiging cyber houden in de opfok zijn lelijke kop?
Beeld: iStock
Het was misschien een gebeurtenis die duwde de dreiging van ransomware in de mening van de hele wereld, meer dan een jaar voordat de WannaCry uitbraak.
In februari 2016), de Hollywood-Presbyterian Medical Center in Los Angeles, Californië werd besmet met Locky ransomware. De infectie gecodeerde systemen in het hele complex, het vergrendelen van het personeel van computers en van elektronische dossiers.
Uiteindelijk, het ziekenhuis betaalt een losgeld van 40 Bitcoins – dan gelijk aan $17,000 – met het oog op het verwerven van de decryptie-sleutel om te herstellen van de gegevens.
“De snelste en meest efficiënte manier om te herstellen van onze systemen en administratieve functies was om het losgeld te betalen en het verkrijgen van de decryptie sleutel. In het beste belang van het herstel van de normale activiteiten, dit hebben we gedaan,” Allen Stefanek, presiden van de Hollywood-Presbyterian Medical Center zei in de tijd.
Locky ging op de pest-slachtoffers over de hele wereld gedurende het grootste deel van 2016, met veel te zien geen alternatief dan te betalen.
Deze bijzondere stam van ransomware was zo vruchtbaar dat in November het was een van de meest voorkomende malware-bedreigingen in zijn eigen recht.
Maar dan Locky verdwenen in December 2016, waarin een aantal cyber security onderzoekers suggereren dat de mensen achter het ging gewoon op een Christmas break. Het uiteindelijk opnieuw te voorschijn in januari, maar alleen in een klein deel van de gevallen in vergelijking met toen het op zijn hoogtepunt was en infecties zijn toegift en neer sinds die tijd.
Bijvoorbeeld, na maanden van bijna nul-activiteit, de voormalige koning van ransomware plotseling terug in augustus en in een grote weg als miljoenen van phishing-e-mails met een Locky lading plotseling overspoeld postvakken in. Niet alleen dat, maar ook potentiële slachtoffers zijn gericht met nieuwe stammen van het Locky – Diablo en Lukitus.
Maar waarom heeft deze ransomware gaat het zo rustig is in de eerste plaats?
Niemand weet wie er precies achter Locky, maar de verfijning van de ransomware, en de kracht van de onderliggende cryptografie die onderzoekers niet in staat zijn geweest om te kraken, wijst op het feit dat het het werk is van een zeer professionele groep.
Als een legitieme software developer zij zijn voortdurend aan het vernieuwen van hun product, en in tegenstelling tot andere vormen van ransomware, Locky is niet beschikbaar op ‘as-a-service’, voor anderen om te gebruiken, dus het is mogelijk dat de campagnes gaan rustig als die achter op het werken aan hun code of experimenteren met nieuwe tactieken.
“De rust zagen we van Locky was waarschijnlijk gewoon een gepland terug te trekken op de aanvallers deel. Net als iedere organisatie, die ze nodig hebben om tijd te verfijnen code en command-and-control-infrastructuur, plan nieuwe aanval vectoren, organiseren losgeld betaling verzameling methoden en compileren van nieuwe lijsten van doelstellingen,” zei Troy Gill, manager van het security-onderzoek bij AppRiver.
Elke keer Locky even opnieuw ontstaan voor schijnbaar verdwijnen in de loop van dit jaar, is het doen van iets dat een beetje anders, te suggereren dat de mensen achter het experimenteren.
Bijvoorbeeld een Locky piek in April zag de ransomware flirten met een levering van een nieuwe techniek, met distributie via een besmette Pdf ‘ s in plaats van Office-documenten, een tactiek die geassocieerd worden met de Dridex malware botnet. Zo is het mogelijk dat de ransomware gewoon offline gaat als die achter het onderzoeken malware trends en hoe ze dit kunnen implementeren in Locky voor het om meer succesvol te worden.
Zie ook: Ransomware: Een executive gids naar één van de grootste bedreigingen op het web
“De timing van deze comebacks wedstrijden nauw samen met de introductie van de nieuwe kenmerken, zoals de meest recente Diablo en Lukitus extensies voor gekoppelde bestanden en het gebruik van nieuwe distributie-technieken met PDF-documenten of phishing-links”, zegt Brendan Griffin, threat intelligence manager bij PhishMe.
“Deze periodes van Locky afwezigheid worden gebruikt als een kans om te bouwen op de successen en het vinden van nieuwe, slimmere manieren om hun ransomware”.
Locky wordt verspreid via de Necurs botnet – een zombie leger van meer dan vijf miljoen gehackte apparaten – en de ransomware lijkt te gaan uit de radar toen het botnet wordt gebruikt voor andere activiteiten. Bijvoorbeeld, Necurs opgelaaid na een periode van inactiviteit in Maart met zijn macht werd aangewend om het distribueren van e-mail op voorraad oplichting.
De volgende maanden zag de voortzetting van schadelijke activiteit, met Necurs een verschuiving in de verdeling van Jaff ransomware.
Terwijl minder geavanceerd dan Locky, onderzoekers geloven Jaff en Locky te worden aangesloten. Niet alleen de Jaff decryptor website en de Locky decryptor websites zien er vrijwel identiek, maar als Locky, de ransomware verwijderen van de geïnfecteerde machine als de lokale taal is russisch.
In tegenstelling tot het geval van Locky, hebben de onderzoekers in staat geweest om te kunnen bouwen is er een speciale tool voor Jaff, de verdeling van die afgenomen sinds het werd uitgebracht in juni.
Sindsdien is de Necurs botnet is terug te distribueren Locky, die zouden kunnen duiden dat, terwijl ze kunnen experimenteren met andere vormen van cyber criminele activiteiten, die achter Locky zie het als een betrouwbaar instrument om op terug te vallen – omdat het werkt en inkomsten genereert.
“Locky is een ongelooflijk krachtig en goed ontwikkeld stuk van ransomware,” zegt Adam Kujawa directeur van malware intelligence bij Malwarebytes. “Aan het einde van de dag, de slechte jongens die willen om geld te verdienen en dat ze zullen gebruiken wat software die ze kunnen krijgen hun handen op om dat te laten gebeuren”.
Dus terwijl Locky succesvol is, die achter zijn opportunistisch en zijn constant op zoek naar andere manieren om geld te verdienen en als dat betekent dat laten vallen Locky ten gunste van iets anders dan is dat zo.
Maar voor nu, Locky blijft succesvol – want als de slachtoffers niet nog steeds het betalen van losgeld, dat de aanvallers snel gaan naar iets anders. Maar 18 maanden op uit de Hollywood-Presbyterian Medical Center aanval, het is nog steeds hier en het is nog steeds succesvol te infiltreren in netwerken.
Ransomware blijft succesvol omdat het werkt, omdat er genoeg mensen besmet geraakt na te zijn gedupeerd door phishing e-mails en genoeg organisaties geven in en het betalen van het losgeld vergoeding om weer toegang tot hun systemen, vooral als er nog steeds geen decodering hulpprogramma beschikbaar.
Simpel gezegd, Locky keert steeds terug, omdat het succesvol is. Dus de volgende keer lijkt het te gaan zwijgen, maak geen aannames over de ransomware dood te zijn – het is waarschijnlijk dat het net offline gegaan, terwijl deze achter het werk om het nog effectiever te maken.
LEES MEER OVER CYBER CRIME
Na WannaCry, ransomware zal slechter worden, voordat het wordt betterRansomware: De smart person ‘ s guide [TechRepublic]Niet meer ransomware: Hoe een website is het stoppen van de crypto-vergrendeling boeven in hun tracksRansomware afgesloten 1 op de 5 kleine bedrijven na het raakt [CNET]Ransomware draait nog smerigere: Vernietiging, geen winst, wordt het echte doel
0