Następstwa naruszenia OPM: Locky wykorzystuje dane skradzione ofiarom

Wirus Locky został określony jako jedna z najbardziej aktywnych infekcji cybernetycznych w pierwszej połowie tego roku. Niemniej jednak, z jego rozszerzonymi metodami dystrybucji, nie należy spodziewać się, że ten wirus porzuci swoją wiodącą pozycję w najbliższym czasie. W rzeczywistości, obecnie szacuje się, że około 97% wszystkich szkodliwych załączników e-mail jest nosicielami wirusa Locky lub jego zmodyfikowanej wersji. Wśród tych wersji istnieją Thor, wirus Shit, ransomware Perl i ewentualnie kilka innych szkodliwych modyifikacji Locky, na które eksperci się jeszcze natknęli.

Mówiąc o sposobach dystrybucji i infiltracji Locky, błędem byłoby twierdzić, że nie można nauczyć się czegoś nowego każdego dnia. Na przykład, wcześniej w listopadzie analitycy wirusów ujawnili, że kolejna wielka kampania złośliwej aplikacji ShadowGate teraz rozprzestrzenia dwie wersje Locky przez Bizarro Sundown exploit kit. Jest to nowy i niebezpieczny dodatek do zestawów Angler oraz Rig, który deweloperzy Locky wstępnie wykorzystywali do rozpowszechniania wirusów. Ale chyba najbardziej istotne odkrycie, na którym mogą skorzystać zwykli użytkownicy zostało opracowane przez zespół PhishMe.

Naukowcy PhishMe odkryli nową taktykę, którą hakerzy wykorzystują do oszukania użytkowników do pobierania załączników e-mail przenoszących w sobie Locky. Eksperci nazywają to OPM Bank Fraud lub po prostu oszustwo OPM. OPM oznacza dla Amerykańskie Biuro Zarządzania Personelem – instytucja w ramach której nazwy hakerzy dostarczają ich potencjalnych ofiarom oszukańcze powiadomienia, które ostrzegają o rzekomym popełnieniu przestępstwa finansowego. Użytkownikom pojawia się następujący komunikat:

Dear [NAME],
Carole from the bank notified us about the suspicious movements on out account. Examine the attached scanned record. If you need more information, feel free to contact me.

Ten e-mail posiada załącznik w postaci pliku ZIP, który ukrywa zakaźny plik JavaScript. Zaraz, gdy tylko użytkownik otworzy ten plik, pobieranie Locky rozpocznie się natychmiast. Interesujące jest to, że wirus konkretnie celuje w ofiary niesławnych naruszeń OPM, które miały miejsce w roku 2014 i 2015. Innymi słowy, twórcy Locky dążą do wykorzystywania obawy byłych ofiar cyberprzestępczości w celu zainfekowania ich komputerów. Aby zatrzeć ślady, hakerzy już używają ponad 323 unikatowych nazw załączników, a ładunek wirusa pobrano z 78 różnych adresów URL. Takie praktyki utrudniają i zapobiegają wykryciu wirusa oraz, ogólnie, wprowadzają ransomware na nowy poziom. Zatem posiadacze firm powinni poinformować swoich pracowników o środkach bezpieczeństwa online i wybrać godne zaufania rozwiązanie do wykonania kopii zapasowej danych.

O autorze
Linas Kiguolis
Linas Kiguolis

Ekspert do walki z wirusami malware, a takze oprogramowaniem szpiegujacym...

Skontaktuj się z autorem
O firmie Esolutions

Przeczytaj także w innych językach
Pliki
Software
Porównaj