El troyano Locky Ransomware detectado en agosto de 2018

Nuevo Ransomware Rabbit Tiempo de leer: 4 minutos

Locky Ransomware

Nuevo ransomware, amenaza de botnet: IKARUSdilapidated Attack is August '17 Locky Rebirth

Nuevo ransomware

Una actualización especial del laboratorio de inteligencia de amenazas de Comodo

correo electrónico troyano

Una nueva campaña de ransomware de agosto de 2018 comenzó el 9 de agosto y está atacando a usuarios desprevenidos de todo el mundo. Detectado por primera vez por el laboratorio de inteligencia de amenazas de Comodo, este es un correo electrónico a gran escala ataque de ransomware en el que una nueva variante de malware troyano aparece como un archivo desconocido y puede deslizarse en infraestructuras de organizaciones desprevenidas y desprevenidas.

Dentro de los primeros días de la coordinación ataque de ransomware locky, decenas de miles de usuarios estaban siendo blanco de un correo electrónico de aspecto simple con un archivo adjunto y poco o ningún contenido en el cuerpo del correo electrónico. El archivo adjunto es un archivo de almacenamiento, con el nombre "E 2017-08-09 (580) .vbs" (para cada correo electrónico, "580" es un número en constante cambio y "vbs" es una extensión en constante cambio).

archivos troyanos
La nombres de archivos adjuntos son similares, pero la extensión es un archivo .doc, zip, pdf o de imagen (un .jpg o tiff). El archivo adjunto realmente descarga "IKARUSdilapidated", el miembro más nuevo de la familia de ransomware "Locky". Llamado así por las apariciones de "IKARUSdilapidated" en la cadena de código, está claramente relacionado con el troyano "Ransom Locky" y comparte algunas de sus características.

La ingeniería social se utiliza para hacer que el usuario haga clic y cuando el usuario hace lo que se le indica, las macros guardan y ejecutan un archivo binario que descarga el troyano de cifrado real, que cifrará todos los archivos que coinciden con extensiones particulares, incluidas las comunes en la mayoría máquinas. Después del cifrado, un mensaje que se muestra en el escritorio del usuario les indica que descarga el navegador Tor, que es popular porque permite la navegación anónima y luego visitar un sitio web específico operado por delincuentes para obtener más información.

El sitio web contiene instrucciones que exigen un pago de rescate de entre 0.5 y 1 bitcoin (actualmente, un bitcoin varía en valor entre 500-1000 euros) para liberar los archivos ahora cifrados para (con suerte) descifrar sus archivos.

archivo troyano

Phishing y expertos en troyanos del Laboratorio de Inteligencia de Amenazas de Comodo (parte de Comodo Laboratorios de investigación de amenazas) detectó estos nuevos "Locky" ataques de ransomware y verificó que comenzaron el 9 de agosto con más de 62,000 instancias de correos electrónicos de phishing que se detectaron en puntos finales protegidos de Comodo en solo los primeros tres días. Los archivos adjuntos se leyeron como "archivos desconocidos", se pusieron en contención y se les negó la entrada hasta que fueron analizados por la tecnología de Comodo y, en este caso, por los expertos humanos del laboratorio.

La Inteligencia de amenaza El análisis de laboratorio de los miles de correos electrónicos enviados en la campaña de phishing reveló estos datos de ataque: 11,625 direcciones IP diferentes en 133 países diferentes se están utilizando para realizar esta campaña. Los países que albergan la mayor cantidad de servidores de ataque son Vietnam, India, México, Turquía e Indonesia.

El equipo que verificó los propietarios del rango de IP vio que la mayoría son empresas de telecomunicaciones e ISPs. Esto indica que las direcciones IP pertenecen a computadoras infectadas, ahora comprometidas (también llamadas "computadoras zombie"). Esta cantidad de servidores solo se puede usar para una tarea específica si están formados en una gran red de bot, o botnet, y tienen una sofisticada arquitectura de servidor de comando y control. Esto significa que la descripción de los elementos de este ataque de malware de agosto de 2017 ahora incluye el término "botnet", además de ransomware, troyano y ataque de phishing.

También muestra la creciente sofisticación, organización y tamaño de los nuevos ataques de ransomware y agrega más credibilidad a la llamada de los expertos en seguridad de todas partes para "adoptar una postura de seguridad denegada por defecto" y denegar la entrada en su infraestructura de TI a un nuevo "desconocido" archivos

Fatih Orhan, jefe del Laboratorio de Inteligencia de Amenazas de Comodo y Comodo Laboratorios de investigación de amenazas (CTRL), dijo: “Este último ataque de phishing de ransomware que comenzó el 9 de agosto fue único en su combinación de sofisticación y tamaño, con botnet y más de 11 mil direcciones IP de 133 países involucrados en solo la primera etapa del ataque. Cuando la inteligencia artificial no pudo identificar estos archivos desconocidos, se necesitaron todos los recursos del laboratorio para realizar análisis de ransomware locky para identificar el código en el archivo y emitir un veredicto; en este caso, el veredicto fue "malo" y ahora lo hemos agregado a nuestra lista negra y lista de firmas de malware ".

Orhan pasó a declarar, "El uso de la seguridad 'denegación predeterminada' con la contención de archivos desconocidos es lo que protegió a nuestros usuarios de esta nueva amenaza de ransomware desagradable. Incluso 'permitir por defecto' más lo último máquina de aprendizaje los algoritmos y la IA no habrían sido suficientes para prevenir la infección ".

Agregó que las botnets, como la creada en este ataque, eran armas particularmente poderosas para que los delincuentes las usaran para escalar sus ataques de ransomware y que al construir sobre troyanos de ciberataques anteriores como "Locky" de 2016, se está volviendo más fácil desarrollar ransomware de alto nivel que no será reconocido como "malo" por liderar protección de punto final plataformas.

Análisis técnico: una inmersión más profunda
Si desea saber más sobre esta amenaza y profundizar en el código y cómo se implementó el ataque, lea el nuevo "INFORME ESPECIAL Laboratorio de Inteligencia de Amenazas de Comodo: AGOSTO DE 2017 - IKARUSdilapidated". Este informe especial y su apéndice incluyen:

El análisis técnico de Comodo Threat Intelligence Lab de una muestra contenida de IKARUSdilapidated
Los scripts se ejecutan durante la ejecución.
Más detalles sobre las extensiones y ubicaciones de los servidores utilizados en el ataque.

Este Informe Especial y el Informe de Amenazas de Laboratorios de Investigación de Amenazas de los trimestres anteriores se pueden encontrar en el área de Informes en https://www.comodo.com/resources/

____________________________________________________________________________________________________________________________

Recursos Relacionados:

PRUEBE LA SEGURIDAD DE SU CORREO ELECTRÓNICO OBTENGA SU TARJETA DE SEGURIDAD INSTANTÁNEA GRATIS Fuente: https://blog.comodo.com/comodo-news/new-locky-ransomware-trojan-spotted/

Inteligencia de datos generativa

Troyano Locky Ransomware visto este agosto de 2018

La plataforma global de noticias y publicaciones Gnomi lanza un programa de periodismo pago

Mary Beth Hamilton, CMO de Dataprise, incluida en la prestigiosa lista 2024 Women of the Channel Power 100 de CRN y ascendida a líder de las oficinas regionales de Dataprise

Información más reciente

$ 9.25 millones en inversiones comprometidas con empresas emergentes durante la Copa Mundial FinTech en la Cumbre FinTech de Dubai

El futuro de los juegos: las últimas tendencias e innovaciones

El Pentágono busca ampliar las autoridades de operaciones especiales para naciones amigas

Lecciones de Bambú | Ned Phillips | DigFin VOX Ep. 79

Google DeepMind se embarcó en un viaje impresionante a través de los laberintos de nuestro cerebro

Apple podría implementar chips M2 Ultra en servidores en la nube