Ayer mismo veíamos como la industria del ransomware estaba creciendo a pasos agigantados, ya que este tipo de malware se había convertido en el más usado por los ciberdelincuentes, puesto que supone una importante fuente de ingresos para ellos. Concretamente, se estima que los responsables de uno de los ransomware más famosos, Cerber, podían llegar a alcanzar el millón de dólares en un año gracias a la cantidad de víctimas que pagan el rescate por sus datos.
En este sentido, Locky ha sido otra de las amenazas dentro del mundo del ransomware que más víctimas se ha cobrado y ahora vuelve al ataque con una nueva estrategia. Los responsables detrás de Locky han dejado de utilizar un fichero Javascript dentro de un archivo .ZIP que enviaban a sus víctimas a través del correo electrónico y que era el encargado de infectar el equipo, para comenzar a usar ficheros .DOCM de Office.
Una nueva técnica que activa de nuevo a Locky, ya que se han detectado nuevas campañas masivas de correo electrónico que distribuye el famoso ransomware a partir de este mismo mes de agosto y que ya está comenzando a afectar a numerosos usuarios e industrias, entre la que destaca nuevamente la de la salud, después de que un gran número de hospitales fueran víctima de ransomware a principios de este mismo año.
La nueva forma de distribuirse Locky es por lo tanto a través del correo electrónico, pero en este caso llevará un fichero .docm adjunto que sin que el usuario lo sepa, lleva unasecuencia de comandos incluidos en una macro que hacen que se descargue e instale Locky en el momento que el usuario permite el uso de macros para abrir el documento adjunto.
Sin duda, se trata de una técnica que recuerda al famoso troyano bancario Dridex, que usaba documentos de Office y secuencias de comandas de macro para infectar los ordenadores. Algo parecido a lo que está haciendo ahora el ransomware Locky a través de importante oleadas de mensajes de correo electrónico distribuidos por todo el mundo durante todo este mes de agosto.
Aunque los países más afectados por Locky son Estados Unidos, Japón y República de Corea, podemos ver como España se sitúa más o menos en la mitad de la tabla del ranking de países atacados por Locky. Por otro lado, los datos ofrecidos por FireEye aseguran quelas mayores oleadas se han producido durante los días 9, 11 y 15 de agosto, por lo que no sería de extrañar que se produzcan nuevas oleadas en los próximos días.
Fuente:https://www.adslzone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
