OPM lek nasleep: Locky misbruikt gestolen data van de gebruikers
Het Locky virus was één van de meest actieve cyber infecties tijdens de eerste helft van dit jaar. Er wordt dan ook niet verwacht dat dit virus snel zijn leidersplaats zal afstaan. Ht is namelijk zo dat er momenteel geschat wordt dat ongeveer 97% van alle kwaadaardige e-mailbijlagen het Locky virus zelf of een aangepaste versie ervan bevatten. Deze versies omvatten Thor, Shit virus, Perl ransomware en, mogelijk nog een paar andere die de experten nog niet ontdekt hebben .
Als we het hebben over de verdeling en infiltratiemethodes van Locky, zouden we liegen moesten we stellne dat er niets is dat we elke dag nog bijleren. Bijvoorbeeld, in november hebben virus analitici onthuld dat een andere grote malvertising campagne, ShadowGate, nu twee versies van Locky verspreid via de Bizarro Sundown exploit kit. Dit is een nieuwe en gevaarlijke toevoeging aan de It Angler en Rig kits, welke initieel gebruikt werden door de ontwerpers van Locky om het te verdelen. Maar, misschien wel de meest essentiële ontdekking, waar gewone gebruikers nut aan hebben, werd gedaan door het PhishMe team.
De PhishMe onderzoekers hebben een nieuwe tactiek ontdekt die de hackers gebruiken om mensen te misleiden tot het downloaden van mailbijlagen met de Locky payload. De experten noemen het de OPM Bank Fraud of gewoonweg OPM scam. OPM staat voor: US Office of Personnel Management — een instituut onder wiens naam de hackers hun potentiële slachtoffers een frauduleuze melding sturen die waarschuwt voor een veronderstelde financiële overtreding. De gebruikers ontvangen het volgende bericht:
Dear [NAME],
Carole from the bank notified us about the suspicious movements on out account. Examine the attached scanned record. If you need more information, feel free to contact me.
Deze mail wordt vergezeld van een ZIP bestand, dat het geïnfecteerde JavaScript bestand verbergt. Alles wat je moet doen is dit openen en de Locky download start onmiddellijk. Het is een interessant gegeven dat het virus zich richt op slachtoffers van de beruchte OPM lekken in 2014 en 2015. Met andere woorden, de ontwerpers van Locky willen de angsten van de voormalige cyber misdaad slachtoffers uitbuiten om hun computers te infecteren. Om hun sporen uit te wissen hebben de hackers reeds meer dan 323 unieke bijlagen namen gebruikt, terwijl de payload van het virus van op 78 afzonderlijk URL werd gedownload. Zulke praktijken bemoeilijken het detecteren en voorkomen van het virus en, over het algemeen, liften ze de distributie van ransomware naar het volgende niveau. Bedrijfsleiders worden dus sterk aanbevolen hun werknemers te onderichten in online beveiliging voorzorgsmaatregelen en te kiezen voor een betrouwbare back-up oplossing voor hun data.