Locky ha bajado un 81%. Anteriormente, en octubre, Locky había sido clasificada como la amenaza de malware en el mundo, mientras que ahora, en diciembre, Locky no es ni siquiera esta en el top 10
Durante más de cuatro semanas, la única fuente de infecciones ransomware Locky ha sido a través de campañas de spam que distribuían el malware Kovter, ademas el botnet Necurs, ha estado desconectado durante las vacaciones de Navidad y Año Nuevo.
Esta circunstancia ha sido vista, por empresas de seguridad Avast y Check Point, y los investigadores de seguridad Kevin Beaumont, MalwareTech, MalwareHunterTeam, entre otros.
Kovter es un malware de click-fraude que infecta las computadoras y los clics en los anuncios invisibles en nombre del usuario. Este malware ha existido durante años, y recientemente, se comenzó a distribuir una amplia gama de cargas útiles secundarias.
En Enero de 2016 para, Kovter descargo e instalo un cliente proxy en los ordenadores infectados, la transformación de los huéspedes infectados en servidores proxy para el servicio web proxy ProxyGate. Esto permitió a la banda Kovter para obtener un beneficio de lado a enrutar el tráfico web a través de PCs infectados, y también ganar dinero de su actividad principal: haga clic en el fraude.
En el mismo mes, Kovter también comenzó a distribuir una versión del ransomware Nemucod, para el que Fabian Wosar de Emsisoft había creado con éxito un descifrador .
Desalentado por el éxito de Wosar, el grupo detrás Kovter cambió a varias variantes ransomware en los siguientes meses, y finalmente se estableció en el alquiler y distribución de Locky a partir de octubre como parte de un régimen de afiliación, la división de los pagos de rescate con la tripulación Locky.
Los investigadores que buscan en las infecciones Locky pueden seguir fácilmente las infecciones Locky distribuidos por el grupo Kovter por el afiliado ID de 23 y 24, que se encuentra en el archivo de configuración del Locky, presente en todos los sistemas infectados.
Investigadores de PhishMe han publicado recientemente una entrada en el blog que detalla los correos electrónicos no deseados Kovter que ha estado distribuyendo Locky ransomware en las últimas semanas.
Por el momento, este tipo de mensajes son la única fuente de infecciones Locky. Estos gran mayoría de estos mensajes de correo electrónico parece ser que vienen de secuencias de comandos del anuncio publicitario instalados en sitios web comprometidos, como los que se ejecuta Joomla.
Anteriormente, la mayoría de los correos electrónicos no deseados que distribuyen Locky vinieron del correo no deseado enviado vía Necurs, una red de bots de PCs infectados con el bootkit Necurs.
La botnet Necurs es la misma botnet responsable de la distribución del troyano bancario Dridex, uno de los troyanos bancarios más avanzados conocidos hoy en día.
Mientras que en 2015 Dridex era la carga útil primaria Necurs', en el transcurso de 2016, la banda detrás de la botnet Necurs había retirado lentamente Dridex a favor de Locky, muy probablemente debido a la mayor
Actualmente, de acuerdo con MalwareTech, los servidores de comando y control Necurs están fuera de línea. La botnet también estuvo fuera de línea en el mismo período del año pasado, desde antes de Navidad a mediados de enero, un período que cubre la temporada de vacaciones, tanto para el moderno calendario gregoriano y el calendario Juliano, todavía se utiliza en algunas partes de Europa del Este en los ortodoxos Fe cristiana.
Casi todos los investigadores con los que hablamos dijeron que estarían sorprendidos si Necurs no regresa, por lo que esperemos que el / Dridex / Locky Necurs se mantiene en una playa por un par de semanas más.
