LOCKY RANSOMWARE SE VA DESVANECIENDO

En los últimos seis meses el número de infecciones ransomware Locky ha bajado y se espera que llegue a su punto más bajo en marzo.

Desde el principio, se hizo evidente que el crecimiento de Locky fue accionado por Necurs, una enorme red de bots de dispositivos infectados utilizados para enviar spam de correo electrónico.

Antes de la aparición de Locky, Necurs habían sido utilizado exclusivamente para entregar el troyano bancario Dridex. Esto cambió hizo que Locky y Necurs lentamente fueran reemplazados por Dridex con Locky como su carga útil primaria.

Necurs abandona Locky en el inicio de 2017

Sin embargo, no todas las cosas duran para siempre y las cosas cambiaron en el Año Nuevo. Necurs operadores son conocidos por tomar unas pocas semanas de delante de Navidad a mediados de enero. Ellos han estado tomando esto romper todos los años que han estado en el negocio, y ellos hicieron lo mismo en las vacaciones de 2016-2017.

Algo ocurrió durante esta temporada de vacaciones pasado porque cuando regresó, la botnet Necurs no estaba empujando Locky en los mismos niveles.

Muchos investigadores observaron este evento, tales como Cisco Talos. El equipo detrás de la ID del servicio ransomware se dio cuenta de lo mismo.

Por otro lado, Cerber, que una vez parecía muerto, ahora ha tomado el lugar de Locky como mayor amenaza ransomware de hoy. Investigadores de Morphisec han documentado aumento reciente de Cerber.

MalwareTech , un investigador de seguridad que realiza un seguimiento de la botnet Necurs, en particular, confirmó la observación de identificación de ransomware.

"No ha habido ningun [spam Locky de Necurs] en todo el año", los investigadores dijeron que bleepingcomputer. "Necurs está de vuelta y hacer algo totalmente diferente: la bomba de penique y vertederos," el investigador tarde twitteo , en referencia a la bomba y volcar campañas de spam que tratan de aumentar artificialmente precios de las acciones por lo que los ladrones pueden comprar barato y vender caro.

Del mismo modo, un investigador de seguridad @dvk01uk , especializada en análisis de spam de correo electrónico, también se notó un descenso en el número de spam Locky.

"Sí, muy reducido", dijo a bleepingcomputer. "Sobre todo lo que veo son el diario falso FedEx, UPS, USPS" no puede entregar su paquete "mensajes".

Estos son los mensajes de spam que vienen con archivos adjuntos de correo electrónico mezclada con el programa de descarga Nemucod, que a su vez descarga el software malicioso fraude de clics Kovter y el ransomware Locky.

Este esquema de distribución es el signo distintivo de un sistema de distribución de afiliados Locky. Anteriormente, las campañas masivas de spam del año pasado el envío de Locky no se han basado en Nemucod.

No hay nuevas versiones Locky este año

Además, antes de ir en silencio durante las vacaciones de Navidad, Locky recibieron actualizaciones mensuales, pasando por diferentes extensiones como Zepto, Odin, Thor, Ases, ZZZZ, y Osiris. No se han visto nueva variante desde diciembre.

Ninguna nueva actividad Locky ha sido visto desde la red de bots Necurs, y ninguna nueva versión salió desde las últimas campañas Necurs + Locky año pasado.

Todos los indicios apuntan a la muerte (temporal) de Locky, aunque el ransomware parece vivo en algunos esquemas de afiliación RAAS. Tendremos que esperar y ver qué pasa con Locky en los próximos meses. Quién sabe, tal vez van a liberar las claves de descifrado como el grupo TeslaCrypt.

Fecha actualización el 2017-3-20. Fecha publicación el . Categoría: Malware. Autor: Mapa del sitio Fuente: bleepingcomputer
Comenta y comparte en Compartir en Google+ Locky ransomware