Un regard sur les activités de spam récentes locky ransomware – Blog de renseignement de sécurité TrendLabs

Ransomware a été l’une des menaces les plus répandues, prolifiques et omniprésentes dans le paysage des menaces 2017, avec des pertes financières entre les entreprises et les utilisateurs finaux maintenant susceptibles d’avoir atteint des milliards de dollars de mac logiciel de récupération gratuit. Locky ransomware, en particulier, a parcouru un long chemin depuis la première émergence au début de 2016. Malgré le nombre de fois où il a apparemment passé en hiatus, locky reste une menace pertinente et crédible compte tenu de son impact sur les utilisateurs finaux et en particulier les entreprises. Nos détections montrent que cela fait un retour avec de nouvelles campagnes.

Un examen plus approfondi des activités de LOCKY révèle une constante: l’utilisation du spam. Bien que le spam reste à un point d’entrée important pour ransomware, d’autres comme Cerber emploient aussi des vecteurs tels que des kits exploitent delete télécharger gratuitement le logiciel de récupération de données FileHippo. Cependant, locky, semble concentrer sa distribution à travers des campagnes de spam à grande échelle quelles que soient les variantes libérées par les opérateurs / développeurs.


Voici une visualisation de la distribution du 2 Janvier à 8 Septembre:

Nous avons également constaté comment l’ampleur et la portée de la distribution de Locky sont alimentés par le botnet Necurs, une infrastructure de distribution de courrier indésirable comprenant des dispositifs zombifiés. Il barattes une quantité non négligeable d’e-mails de spam portant stealers information comme Gameover ZeuS, Zbot ou Dridex et d’autres familles ransomware telles que cryptolocker, CryptoWall et Jaff.

Necurs est partenaire-temps depuis longtemps et de Locky dans le crime, et il est pas un hasard si la montée des e-mails de spam portant Locky correspond à la légère hausse de l’activité propre Necurs. En fait, nous avons vu que Necurs activement poussé Locky d’Août à Octobre sony récupération de fichier clé. Voici une chronologie:

Il est également intéressant de noter que Necurs également distribué Locky via l’URL uniquement des courriels-que le spam est, les messages ne disposaient pas des pièces jointes, mais plutôt des liens qui détournent les utilisateurs vers des sites hébergeant le compromis ransomware. L’utilisation de HTMLs embarqués avec des liens vers le site compromis a également commencé à gagner la traction cette année.

Fait intéressant, nous avons vu une importante campagne de spam URL seule qui a livré le malware bancaire Trickbot (TSPY_TRICKLOAD) séparément. La routine est similaire à une autre campagne, nous avons observé, où les opérateurs cybercriminelles tourné leurs charges utiles entre FakeGlobe et Locky. Dans certains de nos essais, nous avons constaté que la charge utile dépendait de la région: les pays occidentaux sont plus susceptibles d’être servi avec Trickbot, tandis que les pays comme le Japon et Taiwan, par exemple, sont plus susceptibles d’obtenir Locky.

Le calendrier des accalmies de LOCKY et d’autres activités poussées correspond cybercriminelles logiciel de récupération gratuit Android. Ils peuvent aussi être interprétées comme des intervalles utilisés pour affiner et diversifier les chaînes d’infection de LOCKY. Tel est le cas le plus probable avec les récentes variantes Diablo et Lukitus, qui a utilisé malveillant (ou posé comme) des fichiers PDF et des images (à savoir, JPEG, TIFF) logiciel de récupération gratuit pour carte mémoire. Ils sont écarts par rapport aux vecteurs habituels, documents Word incorporés avec le code malveillant ou macro scripts Visual Basic (VBS).

Et en effet, nous avons vu Locky en termes de diversifier les pièces jointes de mails qu’il utilise. botnet Necurs, par exemple, favorise de plus la distribution des e-mails de spam avec des fichiers HTML. La campagne de spam Locky nous avons suivi à la mi-Septembre a également utilisé des documents Word avec macro malveillant, mais codé pour exécuter et télécharger Locky après que l’utilisateur ferme le fichier. Locky également abusé de fichiers Windows Script (FSM) et les bibliothèques de liens dynamiques (DLL) en tant que vecteurs d’infection, il est donc pas impossible pour le ransomware d’un mauvais usage d’autres types de fichiers et d’étendre au-delà des macros, VBSes ou fichiers HTML sony handycam Récupération de fichier. Voici une ventilation des pièces jointes de fichiers utilisés par des e-mails de spam lacées Locky nous avons vu jusqu’à présent:

Figure 4: Les types de fichiers utilisés par Locky porteurs emails de spam dans de Janvier à Septembre 2017. noter que les VBS, JS, et les fichiers sont archivés JSE via RAR, ZIP ou fichiers 7zip

En effet, les changements continus dans l’utilisation de Locky des pièces jointes sont sa façon d’adapter ses outils pour éviter ou contourner la sécurité traditionnelle microsoft office logiciel de récupération de fichiers corrompus gratuit Télécharger. Mais en dépit de la variété apparente, il y a des dénominateurs communs dans l’ingénierie sociale de Locky, en particulier dans les matières de courrier électronique et le contenu. Ils semblent avoir les mêmes saveurs anciennes, mais avec des torsions relativement différentes. Certains des leurres que nous avons vu ces dernières sont les suivantes:

Le mécanisme de distribution est un élément essentiel pour tout logiciel de récupération de données enregistrées ransomware FileHippo téléchargement gratuit. Les vecteurs-et d’infection de LOCKY ses effets néfastes sur les touchés systèmes démontrent l’importance d’une approche à plusieurs couches pour protéger la vie privée, la sécurité et l’intégrité des passerelles, terminaux, réseaux ou serveurs qui gèrent ou stocker critiques, données d’entreprise ou personnel. Suivre et appliquer les meilleures pratiques contre ransomware: maintenir le système patché, sécuriser la passerelle de messagerie et de sauvegarder régulièrement les données. Les entreprises doivent mettre en œuvre la défense en profondeur: appliquer le principe du moindre privilège, maintenir le système et ses applications mises à jour (ou employer application de patchs virtuels), et incorporer des couches supplémentaires de sécurité contre les fichiers malveillants et des activités de réseau qui peuvent être exploitées par le pouvoir ransomware logiciel de récupération de données FileHippo téléchargement gratuit. Plus important encore, favoriser une culture de la cybersécurité des technologies qui contrecarrent les menaces ne sont aussi efficaces que les personnes qui les utilisent.

Trend Micro ™ Hosted Email Security est une solution de cloud sans entretien qui offre une protection en permanence mise à jour pour arrêter les menaces comme Locky avant d’atteindre le réseau. solutions de messagerie et de passerelle Web tels que Trend Micro ™ de Deep Discovery ™ Email Inspecteur et InterScan ™ Web Security empêchent d’atteindre ransomware jamais les utilisateurs finaux. Au niveau des terminaux, Trend Micro ™ Smart Suites protection, alimenté par XGen ™ Security, offrir plusieurs fonctionnalités telles que l’apprentissage de la machine haute-fidélité, la surveillance du comportement et le contrôle des applications et protection de la vulnérabilité qui minimise l’impact de Locky.

Trend Micro ™ Deep Security ™ cesse ransomware d’atteindre l’entreprise des serveurs physiques, virtuels ou dans le nuage. Trend Micro ™ Worry-Free Advanced Services offre une sécurité de passerelle de courrier électronique basé sur le cloud pour les petites entreprises grâce à Hosted Email Security récupération de fichiers vidéo perdus. Sa protection endpoint offre également plusieurs fonctionnalités telles que la surveillance du comportement et de la réputation Web en temps réel afin de détecter et ransomware bloc. Pour les utilisateurs à domicile, Trend Micro Security 10 offre une forte protection contre les ransomware en bloquant les sites Web malveillants, les courriels et les fichiers associés à cette menace.