• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    Nuevas variantes del ransomware Locky cambiaron sus patrones de comunicación

    Nuevas variantes del ransomware Locky cambiaron sus patrones de comunicación Locky, una familia ransomware popular que surgió a principios de este año, ha mostrado cambios en sus patrones de comunicación en las últimas semanas, según ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.600

      Nuevas variantes del ransomware Locky cambiaron sus patrones de comunicación

      Nuevas variantes del ransomware Locky cambiaron sus patrones de comunicación



      Locky, una familia ransomware popular que surgió a principios de este año, ha mostrado cambios en sus patrones de comunicación en las últimas semanas, según afirman los investigadores de Check Point.

      La primera vez que fue visto a mediados de febrero, Locky llegó a la cima de las listas ransomware sólo dos semanas más tarde, hazaña lograda por sus canales de distribución. El malware se basa en macros maliciosas en los documentos de Office para infectar el ordenador de la víctima, estos documentos maliciosos se distribuyen mediante correos electrónicos de spam.

      A principios de marzo, Trustwave observó una campaña masiva de spam de más de 4 millones de mensajes de spam maliciosos generados por la red de bots Dridex, y descubrió que Locky era la carga maliciosa en esa campaña. Además, los investigadores encontraron que la botnet cambió el mecanismo de distribución que utiliza JavaScript (.js) para la distribución de software malicioso.

      Ahora, los investigadores de Check Point señalaron que los patrones de comunicación de Locky, que fueron muy conocidos en toda la comunidad, cambiaron radicalmente hace aproximadamente dos semanas. La firma de seguridad se dio cuenta de que una nueva variante de Locky cambio la comunicación el 22 de marzo, cuando Content-Type y User-Agent se incluyeron justo después de la cabecera POST en las peticiones al servidor de comando y control (C & C).

      Los investigadores también notaron que otra variante de Locky se incluyó como carga maliciosa en el Expoit Kit Nuclear (EK), que incluía cambios adicionales en la comunicación. Después de que se ejecutaba el downloader malicoso EK envía una solicitud al servidor de C & C, éste responde con un ejecutable de Locky, que incluye un nuevo método de buscar las claves de cifrado del servidor de C & C.

      Anteriormente, los operadores de Locky cambiaron las secuencias de comandos para formar objetos en las macros ocultando el código en la distribución del ransomware a través de documentos de Office envenenados, y parece ser que están mejorando constantemente sus técnicas. Propagar el malware a través de dos campañas de spam y de kits exploits aumenta las posibilidades de infecciones exitosas.

      De hecho, los laboratorios de FireEye detectaron un aumento en los descargadores maliciosos de Locky hace dos semanas, debido a las campañas de spam de correo electrónico simultáneas dirigidas a los consumidores en 50 países, incluyendo los EE.UU., Japón, Corea, Taiwán, Brasil, Reino Unido y México. También notaron que las campañas de Locky no sólo se están poniendo al día con las actividades de spam de Dridex, sino incluso están superándolos.

      Los operadores del ransomware también parecen continuar favoreciendo los descargadores maliciosos basados en JavaScript a través de descargadores maliciosos de macros para Microsoft Word y Excel utilizados inicialmente para distribuir Locky. Esto les permite la automatización para transformar u ocultar la secuencia de comandos para generar nuevas variantes, contrarrestando así las soluciones tradicionales de detección basada en firmas.

      La semana pasada, los investigadores de Bitdefender publicaron una "vacuna" para CTB-Locker, Locky y TeslaCrypt , que debe mantener a los usuarios seguros por un tiempo. Sin embargo, estos constantes cambios en el comportamiento del ransomware podrían convertir la solución de protección proactiva inútil prontamente.

      Los últimos cambios en Locky, a la par con el aumento significativo de sus descargadores también podrían sugerir que las campañas de spam de la amenaza están a punto de intensificarse, lo que podría originar que el malware esté en lo más alto de las listas ransomware. Locky ya ha logrado infiltrarse en los hospitales y, lo mismo podría ser de amenazas más recientes, como Petya y PowerWare, centrándose en esas organizaciones más adelante.

      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.915

      Re: Nuevas variantes del ransomware Locky cambiaron sus patrones de comunicación

      Definitivamente el Ransomware "Locky" ya está dentro del top3 de los crypto-ransomwares de mayor propagación, peleándole posiciones a TeslaCrypt y al legendario CryptoLocker -con sus primos TorrentLocker y CryptoWall- que al igual que 'Locky' se distribuyen por todo el mundo, en diferentes idiomas, por supuesto incluido el español:



      Y recordar que justamente para "Locky" hasta el momento, no hay manera de recuperar los archivos cifrados, por lo que lo único que nos puede salvar es la prevención mediante la implementación de seguridad por capas (Antivirus, Anti-Exploit, Anti-Ransom) y copias de seguridad (backups) externas.



      Salu2




      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.