RANSOMWARE LOCKY EN EL SECTOR DE LA SALUD

Fecha actualización el 2016-8-19. Fecha publicación el . Categoría: Seguridad. Autor: Mapa del sitio

Investigadores de la empresa de seguridad FireEye han descubierto una nueva campaña ransomware Locky destinado principalmente al sector de la salud y a las industrias de telecomunicaciones y de transporte.

Los atacantes lanzaron una campaña masiva de phishing para entregar la amenaza. La amenaza detrás de esta campaña Locky viene en los archivos adjuntos de correo electrónico FORMATO DOCM para entregar el ransomware, en sitios basados en ​​Javascript.

Segun el informe de FireEye: "De nuestro análisis de tendencias, Locky ransomware comenzó a ser emitido a través de adjuntos de correo electrónico en formato DOCM más ampliamente a partir de agosto. Esto marca un cambio de las grandes campañas que hemos detectado en de marzo de , donde un descargador de JavaScript basado en general, estaba siendo utilizada para infectar los sistemas."

"Estos picos de detección y cambio en las tácticas sugieren que los cibercriminales están invirtiendo más para infectar los sistemas y maximizar sus ganancias. Además, hemos observado que la entrega de Dridex a través de este canal de distribución parece haberse detenido, o casi, lo que podría explicar por qué estamos viendo el repunte Locky ".

Los investigadores creen que los ladrones están invirtiendo para comprometer los sistemas que maximizan sus esfuerzos. Otra tendencia interesante informado por FireEye es la pausa en la distribución de la Dridex troyano bancario a través del mismo canal.

Los expertos observaron muchas similitudes en el código de macro utilizado por los atacantes en tres campañas distintas Locky ejecutan el 9 de agosto 11 de agosto y el 15 de agosto.

Pistas tecnicas para ayudar a detectar la nueva cepa del Ransomware Locky

  • Cada campaña de correo electrónico tiene un código de campaña específica "de una sola vez" que se utiliza para descargar la carga útil ransomware Locky desde el servidor de malware malicioso.
  • La URL maliciosa incrustado dentro de código de macro se codifica utilizando la misma función de codificación, pero con una clave diferente para cada campaña. Cada carácter se codifica multiplicando su código ASCII con una clave especificada (un entero). Por lo tanto, su decodificador podría realizar una división mediante el entero especificado.
  • La carga útil descargado se codifica usando 32 bytes de rodadura clave XOR. Una clave diferente se utiliza para cada campaña. XOR del balanceo se describe como sigue Plain [i] = Cipher [i] ^ Key [i % length of Key], donde está el texto sin formato computarizada, Cipher es el texto cifrado, clave es la clave XOR, e i es el desplazamiento de bytes.

MAS INFORMACION EN: MALWARE RANSOMWARE LOCKY



Comenta y comparte en Compartir en Google+
Ransomware Locky en el sector de la salud