Locky ransomware er tilbage fra de døde igen

  • Sep 06, 2023

En af de mest succesrige familier af filkryptering af malware er tilbage -- igen -- med en ny spamkampagne.

locky-ransomware-cisco-talos.jpg

Locky er tilbage.

Billede: Cisco Talos

En af de mest succesrige familier af ransomware er vendt tilbage igen med en ny e-mail-spamkampagne designet til at inficere ofre med den filkrypterende malware.

Locky var en af ​​de første store former for ransomware for at blive globalt succesfulde og på et tidspunkt var en af ​​de mest almindelige former for malware i sin egen ret.

Sikkerhed

  • 8 vaner hos yderst sikre fjernarbejdere
  • Sådan finder og fjerner du spyware fra din telefon
  • De bedste VPN-tjenester: Hvordan sammenligner top 5?
  • Sådan finder du ud af, om du er involveret i et databrud – og hvad du skal gøre nu

Dog er angreb, der distribuerer Locky, faldet i år, og mens det engang var kongen af ​​ransomware, er dets titel blevet tilranet - Cerber dominerer nu markedet.

Men det betyder ikke, at Locky ikke længere udgør en trussel. Efter at have været mørkt i et par måneder - endda til det punkt, hvor det slet ikke blev distribueret - bliver ransomwaren igen spredt gennem Necurs botnet.

Men denne kampagne, som begyndte den 9. august, bliver tiden distribueret med en ny filtypenavn kaldet Diablo6, ifølge t.o Malwarebytes-forskere der har observeret det. Den nye Diablo-variant kalder tilbage til en anden kommando- og kontrolserver end tidligere Locky-kampagner.

En ny variant, som tilføjer udvidelsen '.Lukitus' til krypterede filer, er også ved at blive distribueret. Lukitus er det finske ord for 'låsning'.

Som andre ransomware-familier distribueres Locky via brug af spam-e-mails; denne særlige kampagne sender dem i form af PDF-vedhæftninger med indlejrede .DOCM-filer.

Hvis brugeren downloader den vedhæftede fil og aktiverer makroer, som nyttelasten anmoder om, vil de hurtigt opdage, at de har mistet adgangen til filerne på deres computer og får at vide, at de skal betale en løsesum for at få den "private nøgle" fra angribernes "hemmelige server".

Selvom Locky er langt mindre udbredt, end det har været, er det fortsat en risiko for organisationer på grund af dets stærke kryptografi og det faktum, at bagmændene stadig opdaterer og ændre nyttelasten og den taktik, der bruges til at levere den.

Se også: Ransomware: En executive guide til en af ​​de største trusler på nettet

"Lockys op- og nedture forbliver omgærdet af mystik. En ting, som tiden har lært os, er, at vi aldrig skal antage, at Locky er væk, simpelthen fordi den ikke er aktiv på et bestemt givet tidspunkt," sagde Marcelo Rivero, efterretningsanalytiker hos Malwarebytes.

Det er ikke første gang, Locky dukker op igen efter at være forsvundet. Det så ud til at ophøre med aktivitet i løbet af julen 2016, hvilket fik forskere til at spekulere i, at det udviklere havde taget en pause i feriesæsonen. Helt sikkert, den dukkede op igen i januar og infektioner er steget og faldet lige siden.

Lockys pludselige genkomst kan potentielt tilskrives dekrypteringsværktøjer til Jaff ransomware gøres tilgængelig gratis i juni. Jaff dukkede op i maj og blev spredt af det samme Necurs-botnet, som blev brugt til at distribuere Locky.

Cyberkriminelle implementerer ransomware, fordi det giver dem mulighed for at høste høje belønninger med en lille indsats. Derfor kunne det være sådan, at engang Jaff -- som krævede en løsesum på $4.000 og brugte en decryptor næsten identisk med Lockys -- blev knækket af sikkerhedsprofessionelle, er de kriminelle bagved simpelthen gået tilbage til at bruge Locky.

Mens dem bag Locky endnu ikke er identificeret, har forskere bemærket, at ransomwaren vil slette sig selv fra den inficerede maskine, hvis det lokale sprog er russisk, hvilket muligvis peger mod den geografiske placering af udviklere.

Tidligere dækning

Ransomwares gudfader vender tilbage: Locky er tilbage og lusket end nogensinde før

Efter en mystisk forsvinden er Locky dukket op igen - og låner angrebsteknikker fra Dridex.

Locky ransomware: Hvordan denne malware-trussel udviklede sig på kun 12 måneder

Malware får flere opdateringer, da den forsøger at undgå opdagelse af sikkerhedsfirmaer.

Locky ransomware-kampagne udnytter frygten for data stjålet i OPM-hack

E-mails fortæller ofrene, at de skal downloade en vedhæftet fil for at se "mistænkelig aktivitet" - så inficerer de dem med ransomware.

  • Ransomware: Den smarte persons guide [TechRepublic]
  • Ikke mere ransomware: Hvordan et websted stopper de krypto-låsende skurke i deres spor
  • Efter WannaCry vil ransomware blive værre, før det bliver bedre
  • Malware kommer nu med kundeservice [CNET]
  • Cybercrime Inc: Hvordan hackingbander modellerer sig selv på big business