El rescate de Locky ha vuelto en la forma de dos nuevas tensiones, los investigadores de la seguridad en Malwarebytes han advertido.
Locky fue una de las tres formas más distribuidas de malware en 2016, junto con Cryptowall y Cerber . Pero aunque el ransomware ha crecido durante 2017, Locky ha sido en gran medida reservado.
Pero el 9 de agosto, Locky hizo un regreso dramático, usando una nueva nota de rescate y extensión de archivo, '.diablo6', que siguió una semana después con otra variante, con la extensión '.Lukitus'.
Lo que no ha cambiado, sin embargo, es el método de distribución.
Locky se distribuye a través de correos electrónicos de phishing que contienen archivos maliciosos de Microsoft Office o archivos adjuntos comprimidos que contienen una secuencia de comandos malintencionada, en lugar de explotar a través de las explotaciones derrotadas de la Agencia Nacional de Seguridad de Estados Unidos, como hicieron los grupos detrás de WannaCry y NotPetya .
Las nuevas variantes de Locky, agrega Malwarebytes, callback a un comando diferente y controla servidores (C2) y usa el ID de afiliado: AffilID3 y AffilID5.
"En los últimos meses, Locky ha reducido drásticamente su distribución, incluso no se distribuyó en absoluto, luego volvió a subir de nuevo, desapareció y reapareció una vez más Los altibajos de Locky siguen envueltos en misterio. Nosotros es que nunca debemos asumir que Locky ha desaparecido simplemente porque no está activo en un determinado momento " , advirtió la compañía en una nota informativa .
En 2016, un hospital estadounidense se vio obligado a pagar 17.000 dólares en bitcoin con el fin de recuperar los dispositivos que habían sido víctimas de la Locky ransomware.
Locky es una variante en el troyano bancario de Dridex, que se cree que ha estado detrás del robo de alrededor de £ 20 millones de cuentas bancarias en el Reino Unido solo, restablecido por ransomware en lugar de robar credenciales de banca en línea. Ambos están asociados con el botnet de distribución de malware Necurs.
En aquel entonces, los investigadores de seguridad de Proofpoint señalaron la conexión entre Dridex y Locky.
"Mientras que una variedad de ransomware nuevo ha aparecido desde finales de 2015, Locky se destaca porque está siendo entregado por el mismo actor detrás de muchas de las campañas de Dridex que hemos seguido durante el año pasado", advirtió la compañía en un asesoramiento .
"Los actores detrás de Locky están claramente tomando la pista del libro de Dridex en términos de distribución.Al igual que Dridex ha estado presionando los límites del tamaño de las campañas, ahora estamos viendo volúmenes aún más altos con Locky, rivalizando con las campañas más grandes de Dridex Hemos observado hasta la fecha ".
