Praha 27. dubna 2016 – Jeden z nejznámějších ransomwarů, Locky, se vrací. Po většinu roku 2016 patřil mezi nejrozšířenější vyděračské softwary. Ke svému šíření využíval emailové kampaně s infikovanými přílohami. Ransomware Locky byl rozesílán prostřednictvím botnetu (internetový robot zasílající spamy) Necurs. Jeho aktivita na konci roku 2016 téměř upadla a spolu s ní i šíření ransomwaru Locky. Před několika týdny se Necurs opět probudil a začal posílat spamy nabízející výhodný nákup akcií. Dne 21. dubna zaznamenal bezpečnostní tým Cisco Talos první velkou kampaň ransomwaru Locky prostřednictvím botnetu Necurs za posledních několik měsíců.
https://www.youtube.com/watch?v=Dhv7ubMNlOg&authuser=0
Nová kampaň ransomwaru Locky je velmi intenzivní – během několika hodin experti napočítali přes 35 tisíc odeslaných e-mailů. V mnoha ohledech se podobá jiným spamovým kampaním. Síť na dálku ovládaných počítačů rozesílá zprávy různého znění, jejichž předmětem je informace o platbě, potvrzení nebo naskenované obrázky, konkrétně „Payment“, „Receipt“, „Payment Receipt“ nebo „Scanned image from MX-2600N“, přičemž poslední uvedený se objevuje nejčastěji.
V první části kampaně obsahovaly emaily jako přílohu dokument ve formátu PDF s názvem začínajícím písmenem P doplněným třemi až pěti číslicemi. Druhá část kampaně se svojí metodologií lišila. Předmět byl stejný, emailová adresa, ze které byla zpráva odeslána, se lišila. Email má v příloze text i infikovaný PDF dokument. Podvržený soubor PDF obsahuje vložené dokumenty ve formátu MS Word s makry, která při otevření z infikovaného serveru stáhnou a spustí škodlivý kód v počítači oběti. Zajímavým aspektem je nutnost ručního potvrzení uživatelem, což útočníkům umožňuje obejít řadu bezpečnostních technologií založených na automatické kontrole v izolovaném prostředí, tzv. sandboxu.
Vyděračský software v současné době představuje jednu z nejčastějších kybernetických hrozeb, především kvůli potenciálním vysokým výnosům. Je nepochybné, že se počítačoví zločinci budou snažit tento druh škodlivého softwaru dále vyvíjet a maximalizovat zisky. Obrana vyžaduje komplexní přístup kombinující prevenci spuštění škodlivého kódu, blokování přístupu na servery, z nichž se malware šíří, zabezpečení e-mailu, které detekuje podvržené zprávy, zabezpečení sítě proti průniku a další nástroje.
Další podrobnosti (anglicky): http://blog.talosintelligence.com/2017/04/locky-returns-necurs.html
Video s ukázkou infikování počítače ransomwarem Locky najdete zde: https://www.youtube.com/watch?v=Dhv7ubMNlOg
O Cisco Systems
Cisco, (NASDAQ: CSCO) je celosvětovým technologickým lídrem, který již od roku 1984 pomáhá tomu, aby fungoval internet. Naši zaměstnanci, produkty a partneři pomáhají lidem navazovat bezpečná spojení a již dnes využívat digitální příležitosti zítřka. Další informace naleznete na newsroom.cisco.com nebo nás sledujte na Twitteru na @Cisco.