Последици от OPM пробива: Locky експлоатира данни, откраднати от жертвите си
Вирусът Locky е признат за една от най-активните кибер инфекции от първата половина на годината. В следствие на повишените опити за разпространение не се очаква вирусът да отстъпи от първото място скоро. В интерес на истината в момента около 97% от зловредните имейл приставки носят вируса Locky или негова модифицирана версия в себе си. Сред тези версии са и Thor, вирусът Shit, рансъмуерът Perl и вероятно някои други зловредни модификации на Locky, на които експертите не са попаднли все още.
Говорейки за методите за разпространение на locky, би било грешно да кажем, че не се появява нещо ново всеки ден Например в ранния ноември изследователи по вирусите са открили, че друга огромна вирусна кампания – ShadowGate, сега разпространява две версии на Locky чрез експлоит кита Bizarro Sundown. Това е ново и опасно допълнение към китовете Angler и Rig, които разработчиците на Locky първоначално използваха за разпространение. Вероятно най-важното откритие, което може да помогне на потребителите, е направено от екипа на PhishMe.
Разработчиците от PhishMe открили нова тактика, която хакерите използват, за да подлъгват потребителите да си свалят имейл приставки, съдържащи пакета на Locky. Експертите го наричат OPM Bank Fraud или накратко измамата OPM. OPM идва от US Office of Personnel Management – институция, под чието име хакерите доставят зловредни нотификации на жертвите, с които ги предупреждават за предполагаема финансова заплаха. Потребителите получават следното съобщение:
Уважаеми[ИМЕ],
Карол от банката ни уведими за подозрителни движения в акаунта Ви. Прегледайте прикачения файл. Ако имате нужда от повече информация, винаги можете да се свържете с нас.
Имейлът е придружен със ZIP файл, който крие всички инфекциозни файлове в JavaScript формат. Заразяването изисква потребителят да отвори този файл и свалянето започва незабавно. Интересно е, че вирусът е насочен към жертви на пробивът в OPM, състоял се през 2014 и 2015. С други думи създателите на locky се възползват от страха на жертвите от предишно кибер престъпление, за да инфектират компютрите им. За да покрият следите си разработчиците са използвали над 323 уникални имена на приставките, докато вирусът се сваля от 78 различни линка. Подобна практика обърква процеса на засичане ан вируса и предотвратяването му и отнася разпространението на рансъмуер на съвсем друго ниво. Затова собственици на компании биват предупредени да информират пресонала си да внимават за подобни проблеми в сигурността и да избират достоверни решения от сорта на бекъп.