Ransomvér Locky už vo svete napáchal značné škody. Napomáhajú tomu najmä jeho tvorcovia, ktorí pravidelne menia spôsoby distribúcie tohto škodlivého kódu. Tentoraz sa zamerali na používateľov Facebooku a americkú armádu.
Sociálnymi sieťami Facebook a LinkedIn sa môžu voľne šíriť infikované súbory. Hackeri využili ich bezpečnostné chyby a medzi užívateľov pustili niekoľko variantov ransomvéru Locky. Na prebiehajúcu facebookovú kampaň, ako aj bezpečnostnú chybu upozornila izraelská bezpečnostná firma Check point.
Užívateľ tak obdrží správu s obrazovým súborom, označeným napr Photo_9630 a pod. Po kliknutí na nakazený súbor sa na pozadí spustí sťahovanie ransomvéru, ktorý následne zašifruje súbory v počítači. Napriek tomu, že existuje viacero spôsobov ako sa infikovať, výsledok je vždy rovnaký a je ním zašifrovanie súborov v počítači a žiadosť o „výkupné“ ktoré nie je vyššie ako jeden bitcoin, čo je v prepočte približne 700 eur.
Spoločnosť, ktorá chybu odhalila, o nej údajne už v septembri informovala Facebook, ako aj LinkedIn. Firmy však chybu neopravili a dnes sú zneužívané hackermi.
Locky sa vo svojich prvých verziách šíril najmä prostredníctvom phishingových mailov, no hackeri našli spôsob ako ho dostať na sociálne siete, a tým k omnoho širšiemu publiku.
Sociálne siete sa však nestali jediným cieľom tohto ransomvéru. Pokračuje i emailová kampaň, ktorá sa zamerala aj na vládne a armádne zložky v USA. Ich zamestnanci dostali phishingové maily, ktoré obsahovali jednu z verzií ransomvéru Locky. Ako odosielateľa útočníci zneužili Úrad personálneho riadenia (Office of Personnel Management), ktorý už v minulosti bol obeťou masívneho hackerského útoku. Najnovšie emaily informovali o podozrivých pohyboch na bankových účtoch zamestnancov, pričom detaily si mohli pozrieť v priloženom (infikovanom) dokumente.
Locky momentálne patrí medzi najobľúbenejšie ransomvéry. Od februára tohto roku, keď bol Locky prvý krát odhalený, zmenili jeho autori niekoľkokrát spôsob distribúcie. Použili už JavaScript prílohy, .DLL súbory či makrá pre MS Office. Tie sú rozširované phishingovými mailmi s prílohou jedného z balíčkov MS Office (.doc, .xls atd.). Pri facebookovej kampani však využili jednoduchší spôsob a ransomvér sa šíri sociálnymi médiami ako obrazová .svg alebo .jpg príloha. Locky využíva na šifrovanie silné RSA-2048 and AES-1024 algoritmy.
Ako Locky funguje si môžete pozrieť aj na videu TU.
(MK)