Il padrino del ransomware ritorna: Locky è tornato ed è più subdolo che mai

Il ransomware che ha causato l'anno scorso boom del malware per la crittografia dei file è tornato, e questa volta è ancora più difficile da individuare.

Ransomware è costato alle sue vittime circa 1 miliardo di dollari nel 2016, con Locky una delle varianti più diffuse, infettando organizzazioni in tutto il mondo.

Tuttavia, l'inizio del 2017 ha visto un improvviso calo nella distribuzione di Locky, a tal punto che un'altra forma di ransomware - Cerber - ha usurpato il dominio di Locky.

Ma dopo essere stato quasi cancellato, Locky sta organizzando un ritorno. Ricercatori di sicurezza informatica presso

Cisco Talos hanno osservato un'impennata delle email distribuite da Locky, con oltre 35mila email inviate in poche ore. Questo aumento della distribuzione è attribuito alla botnet Necurs, che fino a poco tempo fa si concentrava sullo spam di truffe del mercato azionario pump-and-dump.

Questa volta, tuttavia, la campagna Locky sfrutta una tecnica di infezione associata alla botnet Dridex, nel tentativo di aumentare la possibilità di compromettere gli obiettivi.

Come notato dai ricercatori di sicurezza informatica su PhishMe, questa nuova forma di Locky inizia utilizzando una tattica familiare: un'e-mail di phishing con un file allegato che il messaggio afferma essere un documento che dettaglia un pagamento o documenti scansionati. Ma invece della pratica più comune di allegare un documento Office compromesso, viene inviato un PDF infetto.

Non è la prima volta che questa tecnica viene utilizzata, con documenti PDF infetti comunemente utilizzati per la distribuzione la botnet malware Dridex. I ricercatori di sicurezza informatica affermano che Locky sta sfruttando i documenti PDF per un semplice motivo: sempre più cyberattaccanti sfruttano le macro di Office per distribuire malware, aumentare la consapevolezza delle potenziali minacce.

All'apertura del documento infetto, alla vittima viene richiesto di autorizzare il lettore PDF ad aprire un secondo file.

Questo secondo file è un documento Word che richiede l'autorizzazione per eseguire macro, che viene utilizzato per scaricare il ransomware Locky. Questo processo di infezione in due fasi è una semplice tecnica di evasione, ma aumenta le possibilità che le vittime installino ransomware.

Il payload Locky funziona ancora come sempre, cercando e crittografando file critici sui computer delle vittime e richiedenti un riscatto in Bitcoin in cambio del ripristino del sistema.

Una differenza rispetto alle versioni precedenti di Locky è che il ransomware chiede alle vittime di installare il browser Tor per visualizzare il pagamento del riscatto site, che i ricercatori suggeriscono sia dovuto al fatto che i servizi proxy Tor vengono spesso bloccati e all'onere di mantenere un proxy Tor2Web dedicato luogo.

Attualmente, questa versione di Locky richiede un riscatto di un Bitcoin, che equivale a $ 1200, € 1100 o £ 935. Si tratta di una richiesta di riscatto molto più ambiziosa, ma i criminali informatici ne sono consapevoli molte organizzazioni sono disposte a cedere e a pagare per evitare di perdere file aziendali critici.

Il ransomware è diventato una delle più grandi minacce sul web. UN La guida ZDNet contiene tutto ciò che devi sapere al riguardo: come è iniziato, perché è in forte espansione, come proteggersi e cosa fare se il tuo PC subisce un attacco.

LEGGI DI PIÙ SUL CRIMINE INFORMATICO

• Ransomware: perché è davvero un grosso problema per le piccole imprese
• Il nuovo schema del dark web consente agli aspiranti criminali informatici di accedere al ransomware gratuitamente
• Rapporto: gli attacchi ransomware sono cresciuti del 600% nel 2016, costando alle aziende 1 miliardo di dollari [Repubblica Tecnologica]
• Di' a Bart e alle altre famiglie di ransomware di "Mangiarmi i pantaloncini" con i nuovi strumenti di decrittazione gratuiti
• L'orrore! Gli utenti Mac devono fare attenzione ai ransomware (come tutti gli altri) [CNET]