Panda: Conoce los trucos del nuevo Locky
Una vez más Luis Corrons, director técnico de nuestro laboratorio antimalware, PandaLabs, nos alerta sobre a detección de una nueva oleada de malware. Esta vez se trata del descubrimiento de una nueva artimaña de cibredelincuentes para atacar con una de las más infames familias en el mundo del ransomware: Locky.
La “novedad” en los recientes intentos de ataque detectados es que se ha “añadido” una nueva funcionalidad que incluye un modo sin conexión, de tal forma que el ransomware puede cifrar ficheros cuando el servidor al que se conecta no está disponible. El punto débil de esta estrategia es que la clave a utilizar será la misma para cada equipo cuyos ficheros sean cifrados, por eso sólo se lleva a cabo en caso de no poder conectarse al servidor del que se obtiene la clave personalizada para cada infección.
Además, ahora también encontramos un nuevo cambio no en el Locky en sí mismo, sino en la forma en la que llega a los equipos de las víctimas. Normalmente estos ataques utilizan un pequeño troyano downloader que es el que se encarga de descargar y ejecutar el ransomware. Por ejemplo, cuando el ataque viene a través de un fichero javascript, éste suele descargar un pequeño ejecutable cuya única función es descargar el ransomware y ejecutarlo en el equipo. Los ciberdelincuentes, como es común en sus ataques están continuamente haciendo pequeños cambios en sus herramientas de infección intentando así evitar ser detectados por las soluciones de seguridad.
Distribución del nuevo ataque
En este caso, la divulgación de la ciberamenaza está siendo a través de un correo electrónico que contiene, en su mayoría, un fichero zip que tiene dentro otro javascript llamado “utility_bills_copies <caracteres aleatorios>.js”. Sin embargo, no todos son así ya que hemos detectado casos donde cambian tanto el asunto del mensaje como el tipo de fichero utilizado. Este es uno de los casos:
Dentro, el zip contiene el siguiente fichero:
Detectamos en nuestros análisis cómo han eliminado el paso intermedio de utilizar el troyano downloader y el script que se ejecuta directamente se descarga la variante de Lock en formato DLL (con los troyanos downloaders normalmente el fichero descargado es un EXE), ejecutándose utilizando el rundll32.exe del propio sistema operativo. El primer avistamiento de este nuevo ataque tuvo lugar el 22 de agosto, y hasta el momento la estrategia se mantiene. Sin embargo, en nuestro laboratorio antimalware PandaLabs, hemos detectado que se está lanzando una nueva oleada cada semana:
Los territorios más afectados
Sólo hemos visto unos pocos cientos de intentos de infección, principalmente en Norteamérica, Sudamérica y Europa, aunque también hemos registrado algunos casos en África y Asia. Si los cibercriminales consiguen un buen retorno de inversión con estos ataques seguramente veremos un incremento de los casos en las próximas semanas. Aquí podéis encontrar una selección de hashes de esta variante de Locky:
