El ransomware es un negocio muy lucrativo para los ciberdelincuentes que ponen en marcha sus campañas. Hay muchísimos ransomware diferentes (como uno que imita a Pokémon GO!), pero sólo hay (o había) un rey indiscutible: Locky, que durante 2016 consiguió recaudar mil millones de dólares de sus víctimas.
El malware había estado inactivo durante un tiempo, y durante su período "de retirada" el título de "rey de ransomware" fue reclamado por Cerber. Pero ahora, y según informan desde ZDNet, Locky vuelve para reclamar su trono con más de un truco nuevo aprendido.
Los investigadores de Cisco Talos han observado un enorme aumento de emails fraudulentos que distribuyen Locky, con más de 35.000 correos enviados en pocas horas. Según los investigadores, este auge se debería a la botnet Necurs, que últimamente se había centrado en timpos dirigidos a mercados de valores.
Sin embargo y tal y como apuntan desde el medio, Locky está usando una técnica de infección asociada a otra botnet llamada Dridex. De esta manera, sus creadores estarían intentando aumentar las posibilidades de comprometer objetivos.
Por otra parte, los investigadores de PhishMe señalan que esta nueva forma de Locky usa una táctica familiar: empezar con un ataque de phishing a través de un archivo adjunto que detala un pago o documentos escaneados. En concreto, se trata de un PDF infectado. En cuanto se abre, a la víctima se le pide que de su permiso para abrir un segundo archivo.
El segundo archivo es un documento de Word que pide permiso para ejecutar macros, que usa para descargar el ransomware Locky. Este proceso de infección en dos pasos es una técnica de invasión simple según los investigadores, que sin embargo incrementa las posibilidades de que una víctima instale ransomware.
Por lo demás, Locky funciona como siempre: busca archivos críticos en el ordenador de la víctima y los cifra, pidiendo una recompnesa. Ahora bien, una vez el malware se ha desplegado hay una diferencia: pide a la víctima que instale Tor para ver la web donde debe realizar el pago, que asciende a 1 bitcoin (unos 1.100 euros).
El ransomware se ha convertido en una de las amenazas más comunes de Internet, con lo que conviene saber cómo protegerse para evitar infecciones. No obstante, la mejor medida de protección es el propio sentido común.
Vía | ZDNet, Cisco Talos, PhishMe
https://www.genbeta.com/seguridad/locky-vuelve-para-recuperar-el-trono-del-ransomware-despues-de-un-tiempo-de-inactividad