56A7D9DE4EA7DACC677A9244A49FEE38 " />
Overblog
Edit post Seguir este blog Administration + Create my blog

Nueva variante de Ransomware Locky

por Bienvenidos a Portal Tecnologico 13 Abril 2016, 11:41 variante Locky ransomware documentos Word Macros Office Email

Resultado de imagen de ransomware ajedrez
La primera vez que fue visto a mediados de febrero, Locky llegó a la cima de las listas ransomware sólo dos semanas más tarde, hazaña lograda por sus canales de distribución. El malware se basa en macros maliciosas en los documentos de Office para infectar el ordenador de la víctima, estos documentos maliciosos se distribuyen mediante correos electrónicos de spam. 

A principios de marzo, Trustwave observó una campaña masiva de spam de más de 4 millones de mensajes de spam maliciosos generados por la red de bots Dridex, y descubrió que 
Locky era la carga maliciosa en esa campaña. Además, los investigadores encontraron que la botnet cambió el mecanismo de distribución que utiliza JavaScript (.js) para la distribución de software malicioso. 

Ahora, los investigadores de Check Point 
señalaron que los patrones de comunicación de Locky, que fueron muy conocidos en toda la comunidad, cambiaron radicalmente hace aproximadamente dos semanas. La firma de seguridad se dio cuenta de que una nueva variante de Locky cambio la comunicación el 22 de marzo, cuando Content-Type y User-Agent se incluyeron justo después de la cabecera POST en las peticiones al servidor de comando y control (C & C). 

Los investigadores también notaron que otra variante de Locky se incluyó como carga maliciosa en el Expoit Kit Nuclear (EK), que incluía cambios adicionales en la comunicación. Después de que se ejecutaba el downloader malicoso EK envía una solicitud al servidor de C & C, éste responde con un ejecutable de Locky, que incluye un nuevo método de buscar las claves de cifrado del servidor de C & C. 

Anteriormente, los operadores de Locky cambiaron las secuencias de comandos para formar objetos en las macros ocultando el código en la distribución del ransomware a través de documentos de Office envenenados, y parece ser que están mejorando constantemente sus técnicas. Propagar el malware a través de dos campañas de spam y de kits exploits aumenta las posibilidades de infecciones exitosas. 

De hecho, los laboratorios de 
FireEye detectaron un aumento en los descargadores maliciosos de Locky hace dos semanas, debido a las campañas de spam de correo electrónico simultáneas dirigidas a los consumidores en 50 países, incluyendo los EE.UU., Japón, Corea, Taiwán, Brasil, Reino Unido y México. También notaron que las campañas de Locky no sólo se están poniendo al día con las actividades de spam de Dridex, sino incluso están superándolos. 

Los operadores del ransomware también parecen continuar favoreciendo los descargadores maliciosos basados en JavaScript a través de descargadores maliciosos de macros para Microsoft Word y Excel utilizados inicialmente para distribuir Locky. Esto les permite la automatización para transformar u ocultar la secuencia de comandos para generar nuevas variantes, contrarrestando así las soluciones tradicionales de detección basada en firmas. 

La semana pasada, los investigadores de Bitdefender publicaron una "
vacuna" para CTB-Locker, Locky y TeslaCrypt , que debe mantener a los usuarios seguros por un tiempo. Sin embargo, estos constantes cambios en el comportamiento del ransomware podrían convertir la solución de protección proactiva inútil prontamente. 

Los últimos cambios en Locky, a la par con el aumento significativo de sus descargadores también podrían sugerir que las campañas de spam de la amenaza están a punto de intensificarse, lo que podría originar que el malware esté en lo más alto de las listas ransomware. Locky ya ha logrado infiltrarse en los hospitales y, lo mismo podría ser de amenazas más recientes, como 
Petya y PowerWare, centrándose en esas organizaciones más adelante.

 

 

Fuente: Security Week

Para estar informado de los últimos artículos, suscríbase:
Comentarios

Ir arriba