Efterföljd av OPM-överträdelsen: Locky utnyttjar data stulen från användarna

Locky-viruset har erkänts som ett av de mest aktiva nätinfektionerna under detta års första hälft. Med sina expanderade spridningsmetoder, förväntas det inte att ge upp sin ledande position inom den närmsta tiden. I själva verket beräknas det i nuläget att runt 97 % av alla skadliga e-postbilagor bär på Locky-viruset själv eller en modifierad version av det. Bland dessa versioner kan nämnas Thor, Shit-viruset och Perl ransomware, men det finns möjligen ytterligare ett antal skadliga Locky-versioner som experterna ännu inte har stött på.

När det gäller Lockys spridnings- och infiltreringsmetoder, vore det fel att påstå att vi inte lär oss något nytt varje dag. Till exempel, upptäckte virusforskare tidigare i november att ytterligare en stor kampanj med skadlig annonsering – ShadowGate – nu sprider två versioner av Locky via Bizarro Sundown exploit kit. Detta är ett nytt och skadligt tillägg till Angler och Rig exploit kits, som Locky-utvecklarna ursprungligen har använt som spridningsmetod. Men den kanske viktigaste upptäckten, som kan gynna vanliga användare, gjordes av PhishMe-teamet.

PhishMe-forskarna har upptäckt en ny metod som hackarna använder för att lura användare till att ladda ner e-postbilagor som bär på Locky-viruset. Experterna kallar den ”OPM Bank Fraud” (bankbedrägeri) eller bara ”OPM scam” (bedrägeri). OPM står för US Office of Personnel Management – en institution under vilket namn hackarna skickar ut ett bedrägligt meddelande till sina potentiella offer. Meddelandet varnar om ett förmodat ekonomiskt brott och lyder som följer:

Kära [NAMN],
Carole från banken meddelade oss om märkliga aktiviteter på ditt konto. Undersök det bifogade skannade dokumentet. Om du behöver mer information, är du välkommen att kontakta mig.

Detta mejl följs åt av en bilaga i form av en ZIP-fil, i vilken den skadliga JavaScript-filen ligger gömd. Det räcker med att användaren öppnar denna fil så startar nedladdningen av Locky omedelbart. Det är intressant att viruset inriktar sig specifikt på offer för de ökända OPM-överträdelserna som ägde rum under 2014 och 2015. Med andra ord, siktar Locky-utvecklarna på att utnyttja de tidigare offrens rädsla för att infektera deras datorer. För att sopa igen spåren, har hackarna redan använt sig av över 323 unika namn på bilagorna, medan viruset laddades ner från 78 olika webbadresser. Sådana metoder försvårar arbetet med att upptäcka och förhindra viruset och tar, i allmänhet, spridningen av ransomware till en helt ny nivå. Därför rekommenderas företagsledningar att informera sin personal om säkerhetsåtgärder och att de ska välja en tillförlitlig metod för dataåterställning.