Expertos de la compañía de seguridad informática Palo Alto Networks han alertado de que un nuevo tipo de ransomware se está expandiendo por todo el mundo. El virus Locky, según han descrito los analistas en el blog de la empresa, es muy similar al conocido Dridex, un sofisticadomalware diseñado para robar datos bancarios. Las víctimas reciben un correo electrónico que simula ser una factura y se infectan al descargar el archivo adjunto de Microsoft Word que contiene macros.
Microsoft desactiva los macros por defecto para proteger al usuario de posibles amenazas. Estas piezas de código añaden funciones y pequeñas aplicaciones a los documentos de Office habituales. Estos complementos permitieron a un usuario de Reddit, por ejemplo, crear una versión de juego de estrategia XCOM en Excel con unas cuantas líneas de Visual Basic. Por otro lado, los macros pueden contener software malicioso muy peligroso.
Si a pesar de la advertencia de seguridad de Microsoft el usuario decide habilitar los macros, el malware se descarga e infecta automáticamente el ordenador. Los especialistas sospechan que los autores de este ransomware están vinculados con Dridex “debido a los estilos similares de distribución, al parecido de los nombres de los archivos y a la ausencia de actividad de este malware particularmente agresivo coincidiendo con la aparición de Locky”.
Una vez instalado, este malware cifra los archivos del ordenador y exige un pago a quien quiera recuperar el control del equipo infectado. A principios de este mes, los responsables del Centro Médico Presbiteriano de Hollywood se vieron obligados a cerrar el sistema informático por la amenaza del ransomware. De acuerdo con la informaciones publicadas por la NBC, los ciberdelincuentes pidieron 9.000 bitcoins por valor de 3,6 millones de dólares.
Los investigadores de Palo Alto Networks sospechan que Locky está ejecutando un ataque masivo porque se detectaron 400.000 sesiones que descargaron el mismo macro llamado Bartallex. La mayoría de las víctimas proceden de Estados Unidos, Canadá y Australia, pero hay rastros de actividad en todo el planeta.
A diferencia de otros ransomware, Locky parece tener un punto débil: inicia la extorsión y el intercambio de claves antes de cifrar los archivos con la extensión .locky. “Esto es interesante porque la mayoría de ransomware genera una clave de cifrado aleatoria localmente, en el host de la víctima, y luego envía una copia cifrada al atacante”. Esto daría cierto margen para diseñar una estrategia que interrumpa las redes asociadas eficazmente. No obstante, Kevin Beaumont, especialista en seguridad, advierte de que “es probable que se tenga que reconstruir el PC desde cero”.
Fuente:https://computerhoy.com/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad