Vyděračský software Locky se vrací, tváří se jako potvrzení platby
Jeden z nejznámějších ransomwarů, Locky, se vrací. Po většinu loňského roku patřil mezi nejrozšířenější vyděračské softwary. Ke svému šíření využíval e-mailové kampaně s infikovanými přílohami. Virus byl rozesílán prostřednictvím botnetu (internetový robot zasílající spamy) Necurs. Jeho aktivita na konci roku 2016 téměř upadla a spolu s ní i šíření ransomwaru Locky. Před několika týdny se však Necurs opět probudil a začal posílat spamy nabízející výhodný nákup akcií.
Nová kampaň ransomwaru Locky je velmi intenzivní – během několika hodin experti bezpečnostního týmu Cisco Talos napočítali přes 35 tisíc odeslaných e-mailů. V mnoha ohledech se podobá jiným spamovým kampaním. Síť na dálku ovládaných počítačů rozesílá zprávy různého znění, jejichž předmětem je informace o platbě, potvrzení nebo naskenované obrázky, konkrétně „Payment“, „Receipt“, „Payment Receipt“ nebo „Scanned image from MX-2600N“, přičemž poslední uvedený se objevuje nejčastěji.
V první části kampaně obsahovaly e-maily jako přílohu dokument ve formátu PDF s názvem začínajícím písmenem P doplněným třemi až pěti číslicemi. Druhá část kampaně se svojí metodologií lišila. Předmět byl stejný, e-mailová adresa, ze které byla zpráva odeslána, se lišila. E-mail má v příloze text i infikovaný PDF dokument. Podvržený soubor PDF obsahuje vložené dokumenty ve formátu MS Word s makry, která při otevření z infikovaného serveru stáhnou a spustí škodlivý kód v počítači oběti. Zajímavým aspektem je nutnost ručního potvrzení uživatelem, což útočníkům umožňuje obejít řadu bezpečnostních technologií založených na automatické kontrole v izolovaném prostředí, tzv. sandboxu.
Vyděračský software v současné době představuje jednu z nejčastějších kybernetických hrozeb, především kvůli potenciálním vysokým výnosům. „Je nepochybné, že se počítačoví zločinci budou snažit tento druh škodlivého softwaru dále vyvíjet a maximalizovat zisky. Obrana vyžaduje komplexní přístup kombinující prevenci spuštění škodlivého kódu, blokování přístupu na servery, z nichž se malware šíří, zabezpečení e-mailu, které detekuje podvržené zprávy, zabezpečení sítě proti průniku a další nástroje,“ uzavírá zpráva Cisco Talos.