OPM: Locky utnytter stjålet data fra ofrene

Locky-viruset har vært en av de mest aktive nettinfeksjonene det første halvåret. Med de utvidede distribueringsteknikkene er det forventet at viruset ikke kommer til å gi fra seg sin ledende posisjon med det første. Det anslås at rundt 97 % av ondsinnede e-postvedlegg inneholder Locky-viruset eller en modifisert utgave av det. Blant disse versjonene finner man Thor, Shit virus, Perl ransomware og muligens noen få andre ondsinnede Locky-virus som ekspertene ikke har oppdaget enda.

Når det gjelder distribusjons- og infiltreringsmetodene til Locky kan vi si at det er noe nytt å lære hver eneste dag. Tidligere i november avslørte blant annet viruseksperter at en annen stor malvertising-kampanje, ShadowGate, nå sprer to versjoner av Locky via trojaneren Bizarro Sundown. Dette er et nytt og skadelig tillegg til Angler og Rig som Lucky-utviklerne brukte for å distribuere viruset sitt i starten. Den viktigste oppdagelsen som brukere kan dra nytte av ble imidlertid gjort av PhishMe-teamet.

PhishMe-forskerne har oppdaget en ny taktikk som hackerne bruker for å lure brukere til å laste ned e-postvedlegg som inkluderer Locky. Ekspertene kaller det OPM Bank Fraud, eller bare OPM Scam. OPM står for US Office of Personnel Management – en institusjon som hackerne bruker navnet til for å varsle ofrene om påstått finansiell kriminalitet.

Dear [NAME],
Carole from the bank notified us about the suspicious movements on out account. Examine the attached scanned record. If you need more information, feel free to contact me.

E-posten kommer med en ZIP-fil som skjuler den infiserte javascript-filen. Så snart offeret åpner filen lastes Locky ned automatisk. Det interessante er at viruset er rettet mot ofrene fra da OPM ble hacket i 2014 og 2015. Locky-utviklerne prøver med andre ord å utnytte frykten hos tidligere ofre for å infisere datamaskinene deres. For å dekke sporene sine har hackerne allerede benyttet mer enn 323 ulike navn på vedlegg, mens viruset er blitt lastet ned fra 78 ulike URL-er. Denne praksisen gjør det vanskelig å oppdage og forhindre virus, og tar generelt sett distribuering av ransomware til et nytt nivå. Det anbefales derfor at ansatte blir informert om forholdsregler når det gjelder sikkerhet på nettet og velge en pålitelig løsning for sikkerhetskopiering.

Om forfatteren
Linas Kiguolis
Linas Kiguolis

Ekspert i å bekjempe malware, virus og spyware...

Kontakt Linas Kiguolis
Om selskapet Esolutions

På andre språk