Investigadores de dos empresas de seguridad han detectado de forma independiente dos campañas masivas de correo electrónico, difundiendo dos variantes diferentes, pero nuevas, del Locky ransomware.
La campaña descubierta por investigadores de AppRiver envió más de 23 millones de mensajes que contenían Locky ransomware en sólo 24 horas el pasado 28 de agosto en Estados Unidos en lo que parece ser una de las mayores campañas de malware en la segunda mitad de este año.
Locky Lukitus
Según los investigadores, los correos electrónicos enviados en el ataque eran “extremadamente impreciso””, con temas como “imprimir, por favor”, “documentos”, “imágenes”, “fotos”, “dibujos” y “escaneos” Intentan convencer a las víctimas para que se infecten con Locky ransomware.
El correo electrónico viene con un archivo adjunto ZIP (oculta la carga útil de malware) que contiene un archivo de Visual Basic Script (VBS) dentro de un archivo ZIP secundario.
Una vez que una víctima es engañada para hacer click en él, el archivo VBS inicia un descargador que baja la última versión del Locky ransomware, llamado Lukitus (que significa “bloqueado” en finlandés) y cifra todos los archivos en el equipo de destino.
Una vez finalizado el proceso de cifrado, el malware muestra un mensaje de ransomware en el escritorio de la víctima que le indica que descargue e instale el navegador Tor y visite el sitio del atacante para obtener instrucciones y pagos adicionales.
Esta variante Locky Lukitus exige una suma de 0,5 Bitcoin (unos 2000 euros en la actualidad)) de las víctimas para pagar por un “decryptor Locky” con el fin de recuperar sus archivos.
Esta campaña de ataque de Lukitus todavía está en curso, y los investigadores de AppRiver han puesto en cuarentena más de 5,6 millones de mensajes en la campaña del lunes por la mañana.
Lamentablemente, esta variante es imposible de descifrar de momento.
Locky IKARUS
En una investigación independiente, Comodo Labs descubrió otra campaña de spam masiva a principios de agosto, que envió más de 62.000 mensajes de spam con una nueva variante de Locky ransomware en sólo tres días en la primera etapa del ataque.
Apodada IKARUS, la segunda variante de Locky ransomware ha sido distribuida utilizando 11.625 direcciones IP diferentes en 133 países distintos, probablemente fabricadas con una botnet de ordenadores zombies para realizar ataques coordinados de phishing.
El ataque original fue identificado por primera vez el 9 de agosto y duró tres días. Utilizó mensajes de correo electrónico no deseados que también contenían un archivo adjunto de Escritorio Visual Basic (VBS). Este archivo malicioso, si se hacía click en él, seguía el mismo funcionamiento mencionado en el caso anterior.
Los ciberdelincuentes que operan la variante IKARUS, de Locky, exigen rescates entre 0.5 y 1 Bitcoin (entre 2000 y 4000 euros) para descifrar los archivos.
Esta masiva campaña de ransomware de Locky ha atacado a decenas de miles de usuarios de todo el mundo, siendo los cinco primeros países Vietnam, India, México, Turquía e Indonesia.
Lo mejor es estar alerta respecto a los e-mails que podamos recibir y que no estemos seguros. Mantener siempre nuestro equipo actualizado y con software que nos permita hacer frente a posibles amenazas.