I kølvandet på OPM bruddet: Locky udnytter data, der er stjålet fra ofrene

Locky virus er blevet indkluderet som en af de mest aktive cyberinfektioner i første halvdel af dette år. Ikke desto mindre, med sine udvidede distributions tilgange, forventes denne virus ikke at opgive sin føreposition indenfor en overskuelig fremtid. Faktisk er det blevet anslået, at omkring 97% af alle de skadelige vedhæftede filer, enten bærer Locky virus eller selv er en modificeret version af den. Blandt disse versioner er der Thor, Shit virus, Perl ransomware og eventuelt et par andre ondsindede Locky remakes, som eksperterne ikke er stødt på endnu.

Når der er tale om Locky distributions- og infiltrationsmetoder, ville det være forkert af os at sige, at der ikke er noget nyt at lære hver dag. For eksempel har virusanalytikere tidligere i november oplyst, at en anden stor malvertising kampagne, ShadowGate, nu spreder to versioner af Locky via Bizarro Sundown exploit kit. Det er en ny og farlig tilføjelse til Angler og Rig kits, som Locky udviklerne indledningsvis bruger til virusdistribution. Men måske er den mest afgørende opdagelse, der kan gavne de almindelige brugere, blevet gjort af PhishMe holdet.

PhishMe researchere har opdaget en ny taktik, som hackere bruger til at narre brugere til at downloade vedhæftede filer, der bærer Locky. Eksperterne kalder det for OPM Bank Fraud eller blot OPM svindelnummeret. OPM står for det amerikanske Office of Personnel Management – en institution under hvilket navn hackere leverer deres potentielle ofre en svigagtig anmeldelse, der advarer om en formodet økonomisk forbrydelse. Brugerne får følgende meddelelse:

Dear [NAME],
Carole from the bank notified us about the suspicious movements on out account. Examine the attached scanned record. If you need more information, feel free to contact me.

Denne e-mail er ledsaget af en vedhæftet ZIP-fil, som skjuler den smitsomme JavaScript-fil. Det tager kun brugerne et øjeblik at åbne denne fil, og Locky download begynder straks. Det er interessant, at virussen specifikt er rettet mod ofre for det berygtede OPM brud, der fandt sted i 2014 og 2015. Med andre ord har Locky skaberne til formål at udnytte frygten hos de tidligere ofre for cyberkriminalitet, for at inficere deres computere. For at dække deres spor, har hackere allerede brugt mere end 323 unikke vedhæftede navne, mens virussen er blevet hentet fra 78 forskellige URL’er. Denne praksis slører virusopdagelse og forebyggelse, og bringer generelt ransomwaredistribution til et helt andet niveau. Således rådes virksomheders indehavere stærkt til at informere deres medarbejdere om online sikkerhedsforanstaltninger og at vælge en troværdig data backup-løsning.

Om skaberen
Linas Kiguolis
Linas Kiguolis

Ekspert i bekæmpelse af malware, virus og spyware...

Kontakt Linas Kiguolis
Om firmaet Esolutions

Læs på andre sprog:
Filer
Software
Sammenlign