¿Qué es Locky Ransomware y cómo protegerse contra él?
ransomware bloqueado se descubrió por primera vez en enero de 2016. Desde entonces, se ha convertido en una familia de sistemas ransomware
Si bien el Locky original ya no está activo, todavía hay variantes disponibles. Tampoco hay garantía de que el Locky original no regrese. Por lo tanto, existen muchas razones para investigar este malware y sus variantes e instalar medidas de protección para evitar que ingrese a su sistema.
Los ataques de la familia Locky ransomware ventanas sistemas. Las campañas de ataque llevadas a cabo con el ransomware Locky son oportunistas y no están dirigidas a objetivos específicos. El código del virus está adjunto a correos electrónicos no deseados que se envían por correo a listas de cientos de miles de direcciones de correo electrónico a la vez.
La estrategia es un juego de números. Un porcentaje de los destinatarios estará interesado en el texto genérico del correo electrónico y un porcentaje de esas personas abrirá el archivo adjunto. Un subgrupo de ese número activará el macros que cargan el ransomware Locky.
Objetivos del ransomware Locky
Aunque la estrategia de entrada de Locky es a través envíos masivos , es posible personalizar ese campo objetivo adquiriendo listas de correos electrónicos en industrias específicas. El Sector sanitario ha sido un gran objetivo para Locky. El telecomunicaciones y Transporte sectores son los siguientes objetivos más importantes.
Dirigirse a empresas es más rentable que atacar a particulares. Las grandes organizaciones tienen más dinero de sobra que los individuos y también tienen más que perder. Si bien muchos ransomware cobran alrededor de $500 por la remediación, el rescate de Locky generalmente oscilaba entre $4,500 y $10,000, pagado en bitcóin . Este no es el extremo más alto de las demandas de rescate; algunos ransomware exigen sumas de millones de dólares.
La botnet Necurs
La mayoría de los sistemas de correo electrónico ahora se aplican filtros de spam automáticamente. Se trata de sistemas de listas negras que detectan correos electrónicos de gran volumen procedentes de un dominio o dirección de correo electrónico. Los filtros de spam desvían los correos electrónicos identificados a la carpeta Spam/Junk o bloquean directamente la descarga de esos correos electrónicos en el cliente.
Los creadores de Locky solucionaron este problema creando la red de bots . Tanto el grupo de hackers como la botnet se llaman necurs . Una botnet son varios ordenadores privados que han sido infectados con un virus. Cada dispositivo en la botnet se llama ' zombi .” El virus abre periódicamente una conexión a un “ comando y control 'servidor ( C&C ), que les da instrucciones sobre qué hacer.
Necurs utiliza su botnet para enviar correos electrónicos. Hay millones de computadoras en la botnet. Esas computadoras pueden ser servidores corporativos grandes, por lo que Necurs tiene una gran capacidad. Filtros de spam lista negra direcciones IP de origen y nombres de dominio que envían una gran cantidad de correos electrónicos. Al distribuir la tarea de envío de correos electrónicos, Necurs evita ese filtro. Los dominios de origen proporcionados en estos correos electrónicos suelen ser falsos: no necesitan que los destinatarios respondan, simplemente abra el archivo adjunto.
¿Cómo funciona Locky ransomware?
El mismo correo electrónico no deseado, que trata sobre una factura impaga, se envía a cientos de miles de destinatarios. El correo electrónico tiene un documento de Word como archivo adjunto, y el mensaje del correo anima al destinatario a abrirlo. El contenido del documento es ininteligible: sólo un revoltijo de caracteres. Una ventana emergente explica que el documento ha sido cifrado y que al presionar un botón en la ventana emergente se decodificará.
El botón en la ventana emergente del documento. activa las macros en el archivo. Estos actúan como un descargador que abre una conexión al servidor C&C y descarga un instalador. Con esto el grupo Necurs tiene un agente en ese ordenador. El dispositivo puede usarse como parte de la botnet o infectarse con el ransomware Locky.
El código Locky no se copia como un archivo. En cambio, se carga directamente en memoria . El instalador comprueba periódicamente el proceso en ejecución y, si no lo encuentra, descarga el programa y lo vuelve a ejecutar. Esto significa que no es necesario que el programa Locky resida en la computadora para funcionar. Esto anula uno de los métodos de detección estándar de antimalware . Sin embargo, el propio instalador debe almacenarse en la computadora para que se pueda identificar un indicador. El instalador también descarga algunos archivos .txt y .bmp para usarlos en la demanda de rescate.
Locky no se contagia. Simplemente comienza a cifrar archivos inmediatamente en la computadora en la que está instalado. El proceso de cifrado cambia el nombre de cada archivo para que tenga una identificación compuesta por 16 caracteres y contenga números y letras. El archivo cifrado tiene una extensión diferente. La primera versión de Locky utilizó la extensión .locky. La versión posterior y sus variantes utilizaron las siguientes extensiones para archivos cifrados:
- .zepto
- .odin
- .mierda
- .thor
- .aesir
- .zzzzzz
- .osiris
La última versión del ransomware surgió en diciembre de 2016, utilizando el .osiris extensión.
La demanda de rescate de Locky
Locky cifra archivos con dos cifrados. Estos son AES cifrado con una clave de 128 bits y RSA cifrado con una clave de 2048 bits. Las claves se generan en el servidor Necurs y se envían al malware Locky. También se almacenan con un código de referencia.
El cifrado solo afecta a los archivos de datos: archivos que contienen texto, imágenes, vídeo o audio para identificar un indicador. No cifra ejecutable archivos. Esto es importante porque significa que aún puedes usar la computadora. Los piratas informáticos quieren que usted pague desde esa computadora, por lo que no quieren desactivarla. El ransomware cambia el fondo del escritorio de la computadora infectada para mostrar la demanda de rescate . Esta nota también está disponible en un archivo de texto copiado a la computadora.
Las instrucciones le dicen a la víctima que instale el navegador Tor y lo utilice para acceder al sitio de Necurs. La nota también incluye una identificación única, que hace referencia al impacto y extrae la clave de descifrado correcta una vez que se ha pagado el rescate. La víctima debe escribir el ID del ataque y el código Bitcoin en un formulario en el sitio de Necurs. un descifrador con la clave de descifrado incorporada se envía por correo electrónico.
Algunos ransomware, ya sea a través de una programación de mala calidad o intencionalmente, no ofrecen un método para restaurar archivos. Afortunadamente, Locky sí. Quienes paguen el rescate pueden recuperar el acceso a todos sus archivos.
Variantes del ransomware Locky
Ha habido varias actualizaciones de Locky que cambiaron la forma en que operaba el ransomware y puede identificarse por las diferentes extensiones utilizadas para los archivos cifrados. Aparte de los cambios programáticos realizados por el grupo Necurs, ha habido dos variantes en circulación que Necurs no necesariamente produjo.
PowerLocky
PowerLocky es una combinación de dos sistemas de ransomware: Locky y PowerWare . Este software de extorsión basado en cifrado se distribuye como un ejecutable .NET escrito en Potencia Shell . Exige un rescate de 0,75 Bitcoin, que, en el momento en que el sistema estaba activo en julio de 2016, valía 500 dólares. Hoy ese valor de Bitcoin se convierte en $29.600.
Al igual que el Locky original, PowerLocky cambia los nombres de todos los archivos cifrados y les pone la extensión .locky. El PowerLocky nota de rescate Es una copia exacta del usado por Locky.
Cierre
Cierre surgió en agosto de 2017. La botnet Necurs también distribuyó esta cepa de Locky como un archivo adjunto a un envío masivo de correos electrónicos. “ Cierre ' en finlandés significa ' cierre .” En la campaña de Lukitus, el archivo adjunto era un archivo .zip o .rar y el código infectante estaba escrito en JavaScipt o VBScript .
Los archivos infectados obtienen la extensión .lukitus. Después de completar su tarea de cifrado, se elimina el ejecutable principal.
Cómo protegerse contra el ransomware Locky
Una noticia alentadora es que gracias a los esfuerzos del equipo legal de Microsoft, Locky ya no es una amenaza importante. Microsoft rastreó los servidores C&C y amenazó a sus hosts con acciones legales, lo que los obligó a eliminar esas cuentas en marzo de 2020. Por lo tanto, aunque el malware botnet Necurs todavía reside en millones de computadoras, las direcciones IP codificadas en ellas para las instrucciones de sondeo ya no existen. Cuando Microsoft hundió el cuchillo, Necurs había controlado más de 9 millones Computadoras zombies.
A pesar de estas buenas noticias, no puedes ser complaciente con Necurs y Locky: podrían regresar fácilmente.
La mejor defensa contra Locky es educar a los usuarios contra la apertura de archivos adjuntos en correos electrónicos de personas de las que nunca han oído hablar. También es esencial mantener todo su software en su totalidad. A hoy para cerrar exploits y proteger su sistema de todo tipo de malware. También deberías implementar una estrategia de respaldo que hace frente y almacena archivos de cada punto final por separado para evitar infecciones cruzadas.
Puede comprar e instalar algunas herramientas excelentes para bloquear Locky y todas las demás marcas de ransomware. Aquí te recomendamos dos.
1. CrowdStrike Falcon Insight (PRUEBA GRATUITA)
Información sobre el halcón de CrowdStrike es un paquete de herramientas de ciberseguridad que incluye elementos tanto en el sitio como en la nube. La parte en el sitio de este sistema es un programa de agente que se instala en cada terminal. Este es un servicio completo de respuesta y detección de terminales, y CrowdStrike también lo comercializa como un paquete independiente llamado Halcón prevenir .
Falcon Prevent es lo suficientemente completo como para continuar protegiendo un dispositivo incluso cuando aislado de la red y no puedo contactar con el controlador Insight en la nube. La comunicación entre Prevent e Insight carga informes de actividad y descarga instrucciones. El sistema de percepción analiza informes de actividad según la última información de inteligencia sobre amenazas. El diseño busca acciones anómalas en lugar de archivos específicos. Este es el método de detección perfecto para Locky, que no coloca un archivo ejecutable en el dispositivo de destino. El agente de punto final también lleva a cabo ese método de detección, por lo que Locky no puede verlo.
Acciones de remediación incluir aislar el dispositivo de la red para que las infecciones no se propaguen. El sistema también puede ordenar el apagado del dispositivo, borrarlo y restaurarlo desde la copia de seguridad. Si bien Locky no depende de cuentas de usuario , otros ransomware sí lo hacen. Falcon Insight puede suspender cuentas de usuarios sospechosas y bloquear el acceso a dominios y direcciones IP incluidos en la lista negra.
Falcon Insight cuenta con el respaldo de CrowdStrike laboratorios de investigación y registros de eventos de otros clientes de CrowdStrike. El sistema de coordinación de Insight puede transmitir inteligencia sobre amenazas a todos los dispositivos de la red para que, tan pronto como se alcance un punto final, todos los demás estén en alerta.
Puedes conseguir unPrueba gratuita de 15 díasde Falcón Prevent.
CrowdStrike Falcon Insight comienza una prueba GRATUITA de 15 días
dos. GestionarEngine DataSecurity Plus
GestionarEngine DataSecurity Plus es un sistema de protección de datos sensibles. Esto es particularmente útil para aquellas empresas involucradas en el sector de la salud, que era el objetivo principal de Locky. Empresas siguientes HIPAA Es necesario garantizar que todos los datos de los pacientes sean accesibles para su uso adecuado y no se divulguen. Las mismas reglas se aplican a PCI DSS y RGPD . Las funciones de registro de acciones del paquete son adecuadas para la auditoría de cumplimiento de estándares.
DataSecurity Plus primero rastrea el sistema y registra todas las ubicaciones de los almacenes de datos. Los documenta y luego escanea cada tienda, categorizando los datos allí. Esto permite que el servicio centre la protección en datos confidenciales. Luego, el monitor observa los archivos que contienen esos datos y evita su manipulación. El sistema también monitorea correos electrónicos y dispositivos USB para evitar que entren virus y salgan datos.
El sistema de protección de archivos se llama Monitor de integridad de archivos ( EL FIN ). Esto genera una alerta cuando se produce un cambio no autorizado en un archivo monitoreado. Entonces, el primer intento de cifrado por parte de Locky activaría una notificación.
El sistema se puede configurar para implementar acciones de remediación automáticamente. Ejemplos de esos flujos de trabajo son el cierre de un punto final infectado, restaurando archivos desde copias de seguridad, eliminación de procesos y suspensión de cuentas de usuarios.
Este software se instala en Servidor de windows y protege las computadoras que ejecutan el sistema operativo Windows, los objetivos de Locky.
ManageEngine DataSecurity Plus está disponible para un Prueba gratuita de 30 días .
