stringtranslate.com

Cerradura

Locky es un malware ransomware lanzado en 2016. Se envía por correo electrónico (que supuestamente es una factura que requiere el pago) con un documento adjunto de Microsoft Word que contiene macros maliciosas . [1] Cuando el usuario abre el documento, parece estar lleno de galimatías e incluye la frase "Habilitar macro si la codificación de datos es incorrecta", una técnica de ingeniería social . Si el usuario habilita las macros, guarda y ejecuta un archivo binario que descarga el troyano de cifrado real , que cifrará todos los archivos que coincidan con extensiones particulares. Los nombres de archivo se convierten en una combinación única de 16 letras y números. Inicialmente, solo se utilizó la extensión de archivo .locky para estos archivos cifrados. Posteriormente, se han utilizado otras extensiones de archivo, incluidas .zepto, .odin, .aesir, .thor y .zzzzz. Después del cifrado, un mensaje (que se muestra en el escritorio del usuario) le indica que descargue el navegador Tor y visite un sitio web específico operado por delincuentes para obtener más información.

El sitio web contiene instrucciones que exigen el pago de un rescate de entre 0,5 y 1 bitcoin (a fecha de noviembre de 2017, un bitcoin varía en valor entre 9.000 y 10.000 dólares en una casa de cambio de bitcoins ). Como los delincuentes poseen la clave privada y los servidores remotos están controlados por ellos, las víctimas se sienten motivadas a pagar para descifrar sus archivos. [2] [3] [4] Las criptomonedas son muy difíciles de rastrear y son muy portátiles. [5]

Archivo cifrado

Operación

El mecanismo de infección más comúnmente reportado implica recibir un correo electrónico con un documento adjunto de Microsoft Word que contiene el código. El documento es un galimatías y solicita al usuario que habilite las macros para ver el documento. Al habilitar las macros y abrir el documento, se inicia el virus Locky. [6] Una vez que se inicia el virus, se carga en la memoria del sistema del usuario, encripta los documentos como archivos hash.locky, instala archivos .bmp y .txt y puede encriptar archivos de red a los que el usuario tiene acceso. [7] Esta ha sido una ruta diferente a la de la mayoría de los ransomware, ya que utiliza macros y archivos adjuntos para propagarse en lugar de ser instalado por un troyano o usar un exploit anterior. [8]

Actualizaciones

El 22 de junio de 2016, Necurs lanzó una nueva versión de Locky con un nuevo componente de carga, que incluye varias técnicas para evitar la detección , como detectar si se está ejecutando dentro de una máquina virtual o dentro de una máquina física y la reubicación del código de instrucción. [9]

Desde que se lanzó Locky, se han publicado numerosas variantes que utilizan diferentes extensiones para los archivos cifrados. Muchas de estas extensiones llevan el nombre de dioses de la mitología nórdica y egipcia. Cuando se lanzó por primera vez, la extensión utilizada para los archivos cifrados era .Locky. Otras versiones utilizaban las extensiones .zepto, .odin, .shit, .thor, .aesir y .zzzzz para los archivos cifrados. La versión actual, lanzada en diciembre de 2016, utiliza la extensión .osiris para los archivos cifrados. [10]

Métodos de distribución

Desde que se lanzó el ransomware, se han utilizado muchos métodos de distribución diferentes para Locky. Estos métodos de distribución incluyen kits de explotación, [11] archivos adjuntos de Word y Excel con macros maliciosas, [12] archivos adjuntos DOCM [13] y archivos adjuntos comprimidos en formato JS. [14]

El consenso general entre los expertos en seguridad para protegerse del ransomware, incluido Locky, es mantener actualizados los programas instalados y abrir únicamente archivos adjuntos de remitentes conocidos.

Encriptación

Locky utiliza un sistema de cifrado RSA-2048 + AES-128 con modo ECB para cifrar archivos. Las claves se generan en el servidor, lo que hace imposible el descifrado manual, y el ransomware Locky puede cifrar archivos en todas las unidades fijas, unidades extraíbles, unidades de red y unidades de disco RAM. [15]

Predominio

Se informa que Locky fue enviado a alrededor de medio millón de usuarios el 16 de febrero de 2016, y durante el período inmediatamente posterior los atacantes aumentaron su distribución a millones de usuarios. [16] A pesar de la versión más nueva, los datos de Google Trend indican que las infecciones han disminuido alrededor de junio de 2016. [17]

Incidentes notables

El 18 de febrero de 2016, el Hollywood Presbyterian Medical Center pagó un rescate de 17.000 dólares en forma de bitcoins por la clave de descifrado de los datos de los pacientes. [18] El hospital fue infectado mediante la entrega de un archivo adjunto a un correo electrónico camuflado en una factura de Microsoft Word. [19] Esto ha provocado un aumento del miedo y el conocimiento sobre el ransomware en general y ha vuelto a ponerlo en el punto de mira del público. Parece que existe una tendencia a utilizar ransomware para atacar a los hospitales y parece estar creciendo. [20]

El 31 de mayo, Necurs se volvió inactivo, tal vez debido a un fallo en el servidor C&C. [ cita requerida ] [ investigación original? ] Según Softpedia , hubo menos correos electrónicos spam con Locky o Dridex adjuntos. Sin embargo, el 22 de junio, MalwareTech descubrió que los bots de Necurs sondeaban constantemente al DGA hasta que un servidor C&C respondía con una respuesta firmada digitalmente . Esto significaba que Necurs ya no estaba inactivo. El grupo cibercriminal también comenzó a enviar una gran cantidad de correos electrónicos spam con versiones nuevas y mejoradas de Locky y Dridex adjuntas a ellos, así como un nuevo mensaje y código JavaScript comprimido en los correos electrónicos. [9] [21]

En la primavera de 2016, los ordenadores de la Dartford Grammar School y del Dartford Science & Technology College se infectaron con el virus. En ambos centros, un estudiante había abierto un correo electrónico infectado que se propagó rápidamente y cifró muchos archivos escolares. El virus permaneció en el ordenador durante varias semanas. Finalmente, lograron eliminarlo utilizando la función Restaurar sistema en todos los ordenadores.

Vector de correo electrónico no deseado

Un ejemplo de mensaje con Locky como archivo adjunto es el siguiente:

Estimado (nombre aleatorio):

Se adjunta nuestra factura por los servicios prestados y desembolsos adicionales en el asunto antes mencionado.

Esperando que lo anterior sea de su agrado, quedamos a su disposición.

Atentamente,

(nombre aleatorio)

(título aleatorio)

Referencias

  1. ^ Sean Gallagher (17 de febrero de 2016). "El ransomware criptográfico "Locky" se instala en una macro maliciosa de un documento de Word". arstechnica.
  2. ^ "Lo que necesitas saber sobre el ransomware Locky" . Consultado el 26 de julio de 2016 .
  3. ^ "locky ransomware". 6 de abril de 2016. Consultado el 26 de julio de 2016 .
  4. ^ "Ransomware Locky: cómo evolucionó esta amenaza de malware en solo 12 meses". ZDNET . Consultado el 22 de junio de 2023 .
  5. ^ Ryan, Matthew (24 de febrero de 2021). La revolución del ransomware: el auge de una amenaza cibernética prodigiosa. Springer Nature. ISBN 978-3-030-66583-8.
  6. ^ Paul Ducklin (17 de febrero de 2016). "Ransomware Locky: lo que necesita saber". Naked Security.
  7. ^ Kevin Beaumont (17 de febrero de 2016). "El virus ransomware Locky se propaga a través de documentos de Word".
  8. ^ Krishnan, Rakesh. "Cómo con solo abrir un documento de MS Word se pueden secuestrar todos los archivos de su sistema" . Consultado el 30 de noviembre de 2016 .
  9. ^ ab Spring, Tom (23 de junio de 2016). "Necurs Botnet is Back, Updated With Smarter Locky Variant". Kaspersky Lab ZAO . Consultado el 27 de junio de 2016 .
  10. ^ "Información, guía de ayuda y preguntas frecuentes sobre el ransomware Locky". BleepingComputer . Consultado el 9 de mayo de 2016 .
  11. ^ "AFRAIDGATE RIG-V DESDE 81.177.140.7 ENVÍA LA VARIANTE LOCKY "OSIRIS"". Malware-Traffic . Consultado el 23 de diciembre de 2016 .
  12. ^ Abrams, Lawrence. "El ransomware Locky cambia a la mitología egipcia con la extensión Osiris". BleepingComputer . Consultado el 5 de diciembre de 2016 .
  13. ^ "El ransomware Locky se distribuyó a través de archivos adjuntos DOCM en las últimas campañas de correo electrónico". FireEye . Consultado el 17 de agosto de 2016 .
  14. ^ "El ransomware Locky ahora está integrado en Javascript". FireEye . Consultado el 21 de julio de 2016 .
  15. ^ "Ransomware Locky" . Consultado el 8 de septiembre de 2017 .
  16. ^ "Amenazas del ransomware Locky". Archivado desde el original el 28 de agosto de 2016 . Consultado el 26 de julio de 2016 .
  17. ^ "Tendencias de Google". Tendencias de Google . Consultado el 14 de agosto de 2016 .
  18. ^ Richard Winton (18 de febrero de 2016). "Un hospital de Hollywood paga 17.000 bitcoins a unos piratas informáticos; el FBI está investigando". LA Times .
  19. ^ Jessica Davis (26 de febrero de 2016). "Conozca la amenaza de ciberseguridad más reciente: Locky". Healthcare IT News.
  20. ^ Krishnan, Rakesh. "Los ataques de ransomware a los hospitales ponen en riesgo a los pacientes" . Consultado el 30 de noviembre de 2016 .
  21. ^ Loeb, Larry. "Necurs Botnet Comes Back From the Dead" (La botnet Necurs regresa de entre los muertos). Security Intelligence . Consultado el 27 de junio de 2016 .