OPM murron jälkilöylyt: Locky käyttää hyväkseen uhreilta varastettuja tietoja

Locky virus on todettu yhdeksi kaikkein aktiivisimmista verkkouhista tämän vuoden ensimmäisellä puolella. Sen laajennettujen levitystapojen takia tämän viruksen ei odoteta antavan kärkipaikkaansa pois ihan heti. Tällä hetkellä on itseasiassa arvioitu, että jopa 97% kaikista vaarallisista sähköpostin liitteistä kantaa Locky virusta tai sen muokattua versiota. Näiden joukossa ovat Thor, Shit virus, Perl ransomware sekä mahdollisesti muita vaarallisia Locky versioita, joita asiantuntijat eivät vielä ole havainneet.

Kun puhutaan Lockyn levitys ja tunkeutumistavoista niin me olisimme väärässä jos sanomme, että ei ole jotain opittavaa joka päivä. Esimerkiksi, aikaisemmin Marraskuussa, virus analyytikot ovat paljastaneet, että jälleen yksi suuri haittamainos kampanja ShadowGate levittää nyt kahta Locky versiota Bizarro Sundown exploit kitin avulla. Se on uusi ja vaarallinen lisä Angler ja Rig kitteihin, joita Locky kehittäjät ovat yleensä käyttäneet viruksen levitykseen. Mutta kaikkein tärkeimmän löydön tavallisille käyttäjille on tehnyt PhishMe tiimi.

PhishMe tutkijat ovat saaneet selvillä uuden taktiikat, että hakkereilla oli tapana huijata käyttäjät lataamaan sähköpostin liitteet joissa on Locky kuormaa. Asiantuntijat kutsuvat sitä nimellä OPM Bank Fraud tai yksinkertaisesti OPM huijaus. OPM on lyhenne sanoista US Office of Personnel Management — toimielin, jonka nimen alla hakkerit toimittavat mahdollisille uhreille petollisen ilmoituksen joka varoittaa mahdollisesti rahapetoksesta. Käyttäjät saavat seuraavan viesti:

Dear [NAME],
Carole from the bank notified us about the suspicious movements on out account. Examine the attached scanned record. If you need more information, feel free to contact me.

Sähköpostin liitteenä on ZIP tiedosto liite, joka piilottaa saastunutta JavaScript tiedostoa. Käyttäjän pitää vain avata tämä tiedosto ja Locky lataus alkaa heti. On todella kiinnostavaa, että virus kohdistaa erityisesti OPM murtojen uhrit, jotka tapahtuivat vuosina 2014 ja 2015. Toisin sanoen, Lockyn luojat koettavat käyttää hyväkseen pelkoa aikaisemmasta verkkorikoksesta voidakseen saastuttaa tietokoneet. Peittääkseen jälkensä, hakkerit ovat käyttäneet yli 323 ainutlaatuista liitenimeä, viruksen haittakuorma taas ladattiin 78 eri URLista. Tällaiset tavat vaikeuttavat viruksen havaitsemista ja estämistä, ne siis vievät koko lunnasohjelman levityksen uudelle tasolle. Yritysten johtajien pitää siis kertoa henkilökunnalle verkon turvatoimista ja valita luotettava tiedostojen varmuuskopiointi.