En esta nueva entrega de Historias de Ransomware descubrimos las artimañas de una de las más infames familias en el mundo del ransomware: Locky .
Recientemente (nuestros colegas de Avira lo publicaron el pasado mes de julio) se ha añadido una nueva funcionalidad que incluye un modo sin conexión, de tal forma que pueden cifrar ficheros cuando el servidor al que se conecta no está disponible. El punto débil de esta estrategia es que la clave a utilizar será la misma para cada ordenador cuyos ficheros sean cifrados, por eso sólo se lleva a cabo en caso de no poder conectarse al servidor del que se obtiene la clave personalizada para cada infección.
Además, ahora también encontramos un nuevo cambio no en el Locky en sí mismo, sino en la forma en la que llega a los ordenadores de las víctimas. Normalmente estos ataques utilizan un pequeño troyano downloader que es el que se encarga de descargar y ejecutar el ransomware. Por ejemplo, cuando el ataque viene a través de un fichero javascript, éste suele descargar un pequeño ejecutable cuya única función es descargar el ransomware y ejecutarlo en el equipo. Tal y como hemos explicado en anteriores artículos, los ciberdelincuentes están continuamente haciendo pequeños cambios intentando así evitar ser detectados por las soluciones de seguridad.
Distribución del nuevo ataque
En este caso, la divulgación de la ciberamenaza está siendo a través de correo electrónico que contienen, en su mayoría, un fichero zip que tiene dentro otro javascript llamado “utility_bills_copies <caracteres aleatorios>.js”. Sin embargo no todos son así ya que hemos visto casos donde cambian tanto el asunto del mensaje como el tipo de fichero utilizado. Este es uno de los casos:
Dentro, el zip contiene el siguiente fichero:
Vemos como han eliminado el paso intermedio de utilizar el troyano downloader y el script que se ejecuta directamente se descarga la variante de Lock en formato DLL (con los troyanos downloaders normalmente el fichero descargado es un EXE), ejecutándose utilizando el rundll32.exe del propio sistema operativo. El primer avistamiento de este nuevo ataque tuvo lugar el 22 de agosto, y hasta el momento la estrategia se mantiene. Como podéis ver, se está lanzando una nueva oleada cada semana:
Los territorios más afectados
Sólo hemos visto unos pocos cientos de intentos de infección, principalmente en Norteamérica, Sudamérica y Europa, aunque también hemos registrado casos en África y Asia. Si los cibercriminales consiguen un buen retorno de inversión con estos ataques seguramente veremos un incremento de los casos en las próximas semanas. Aquí podéis encontrar una selección de hashes de esta variante de Locky:
¡Seguiremos informando!
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
