Locky ha vuelto, ¿qué sabes de él?

Locky ha vuelto y lo ha hecho a lo grande. A través de una campaña que además utiliza una botnet para coordinar un ataque de phishing que envía emails a las víctimas que parecen proceder del escáner o impresora de su organización para terminar cifrando los ordenadores de las víctimas y pidiendo un rescate en bitcoins.

También puedes leer... Informe global sobre Seguridad de la Información 2016-2017 Evolución de los ataques con exploits GDPR: todas sus claves Riesgos de IoT en las empresas Desarrollo de estrategias de ciberseguridad nacional

Han explicado los expertos que IKARUSdilapidated Locky –el nombre oficial del malware, se ha redistribuido con las extensiones .diablo y.vbs (Visual Basic Script), de forma que los nuevos ataques tienen variaciones que engañan no sólo a los usuarios con ingeniería social, sino a los administradores de sistemas y a sus algoritmos de aprendizaje automático y herramientas basadas en firmas.

El caso es que el pasado fin de semana el Computer Emergency Response Team (CERT-In) indio lanzó una alerta sobre el regreso de este malware, un regreso que ya ha sido calificado como una de las mayores campañas de malware de la segunda mitad de 2017. Aunque se creía que Locky había desaparecido, el malware ha reaparecido enviando 23 millones de correos electrónicos en sólo 24 horas. Esta última versión de Locky no ha podido ser crackeada aún, de forma que las herramientas que permitirían recuperar los ordenadores infectados no están disponibles por el momento.

Fue en febrero de 2016 cuando se detectó a Locky por primera vez, tras infectar los sistemas del Hollywood Presbyterian Medical Center de Los Angeles e impedir el acceso a los registros de los pacientes. Se cree que el hospital pagó 40 bitcoins, que equivalieron a unos 17.000 dólares, para obtener la clave de cifrado que solucionara el problema.

Durante todo el año pasado Locky estuvo activo para desaparecer en Navidad, lo que hizo pensar a los investigadores de seguridad que los responsables del malware se habían ido de vacaciones. Reapareció en enero pero muy tímidamente, y después de meses de casi ninguna actividad ha convertido agosto en un drama.

¿Qué se sabe de Locky?

Aunque no se tiene mucha información sobre los autores su sofisticación, que ha llevado a definirlo como “una de las familias de ransomware más exitosas de todos los tiempos”, hace pensar que detrás de Locky hay un grupo de altamente profesionalizado que trabaja de manera constante en su código, como demuestra el hecho de que con cada reaparición se han detectado modificaciones. Por ejemplo, el Locky de abril incorpora una nueva técnica de entrega capaz de distribuir PDFs infectados en lugar de documentos de Office.

Locky se distribuye a través de Necurs, una botnet que integra cerca de cinco millones de dispositivos hackeados que también ha distribuido el ransomware Jaff. Aunque menos sofisticada que la primera, los investigadores creen que Jaff y Locky están conectadas, aseguran desde ZDnet. No sólo se trata de que los sitios web de descifrado de ambas web parezcan casi idénticos, sino que se eliminan a sí mismos de la máquina infectad si el idioma es ruso.

¿Cómo funciona Locky?

Locky se distribuye a través de una nueva extensión de archivo llamada “.diablo6”. En la nueva variante, los responsables de Locky han desatado una nueva extensión llamada “.Lukitus”m¡, una palabra francesa que significa “bloqueo”.

Los ciberdelincuentes envían archivos bajo esta extensión a través de correos electrónicos que parecen archivos ZIP sospechosos y llegan al correo electrónico a través de archivos adjuntos. Pero bajo el archivo adjunto, está presente un archivo ZIP secundario que tiene Visual Basic Scripts (VBS) con un downloader que lleva al usuario a un sitio web malicioso.

Recomiendan los expertos extremar las precauciones porque una vez que se pinche en estos archivos adjuntos, el ordenador descargará automáticamente el malware y el sistema quedará comprometido.

La primera señal que indica que se ha infectado con Locky se verá en el fondo de escritorio, que mostrará “Lukitus.htm”. No podrá acceder a sus datos y se le pedirá un rescate de 0,5 bitcoins.

El éxito de Locky, como de cualquier ransomware, es que funciona. Y funciona porque hay suficientes usuarios y empresas que pagan para acceder a sus sistemas, especialmente si no hay una herramienta de descifrado disponible, como es el caso de Locky.