La botnet Necurs, ancora una volta, ha riportato in auge il ransomware di Locky inviando email ad ignare vittime.
Locky che è stato il ransomware dominate nel 2016, aveva diminuito la sua attività in questo primo quarto del 2017. Ora la minaccia è tornata grazie ad una campagna email guidata dalla botnet Necurs, inizialmente scoperta il 21 Aprile. Necurs è una vasta botnet con una stima di 1.7 milioni di computer attivi lo scorso anno.
Cosi riferisce Nick Biasini in un post sul sito web dell’azienda, dove spiega che i ricercatori di Cisco Talos hanno visto oltre 35.000 email nelle ultime ore associate a questa nuova ondata di Locky.
Nella prima parte della campagna spam le e-mail non contengono alcun testo, ad eccezione dell’ oggetto, che dice semplicemente “Ricezione” o “Pagamento”, seguita da numeri casuali. Questi numeri vengono nuovamente visualizzati nel nome del file PDF allegato.
In un secondo momento invece l’attacco ha subito un evoluzione. Le email inviate infatti sono composte con l’intento di simulare l’invio della scansione di un PDF. In entrambi i casi, è l’allegato a contenere la minaccia.
Tecnica utilizzata
La tecnica utilizzata per distribuire Locky è la stessa usata di recente per Dridex. L’allegato della e-mail è un PDF; ma questo PDF contiene un documento WORD con una macro utilizzata per scaricare ed attivare Locky. L’aspetto interessante di questa tecnica è che è necessaria l’interazione dell’utente per essere attivata, rendendo così inutili le tecniche di sandboxing.
il download di Locky avviene probabilmente da qualche sito web compromesso, hanno spiegato i ricercatori, analizzando le richieste DNS associate al dominio che serve il malware. È comunque possibile che alcune di queste richieste siano associate a professionisti del settore sicurezza che stanno indagando sulla minaccia.
Conseguenze dell’attacco
Se malauguratamente un utente attiva la modifica del documento, Locky partirà a crittografare i file aggiungendo l’estensione .osiris. A questo punto, per poterli decriptare sarà necessario sborsare 0.5 Bitcoin (circa $ 620) per decrittografarli.
Ad oggi purtroppo non esiste alcun modo per recuperare i file se non cedere al ricatto pagando il riscatto ai malintenzionati ( sperando che siano almeno di parola).
Come difendersi
Anche per Locky resta valido quanto detto per Dridex qualche giorno fa: però prestare sempre attenzione ai mittenti e alla provenienza dei documenti, non disattivare la modalità protetta e mantenere aggiornati i software che installiamo sul PC sono le regole consigliate dagli esperti.
