Ransomware que já causou problemas atacando unidades de saúde, teve seu código alterado e voltou a ser detectado em campanhas de phishing via e-mail

Uma ameaça persistente, o ransomware Locky aparentemente não tem planos para desaparecer tão cedo. Locky já causou problemas recentemente quando foi usado para atacar o Centro Médico Hollywood Presbyterian em fevereiro de 2016, quando atingiu quase 400 mil vítimas na primeira semana de sua detecção. Foi nessa época que examinamos o Locky pela primeira vez.

O maior resgate publicamente admitido foi pago pelo Hospital Hollywood, de US$ 17.000 em Bitcoins. A segunda maior soma foi de US$ 1.600 em Bitcoins pagos pelo Hospital Metodista. Desde então, vimos muitas variantes do ransomware, nomeadas para as extensões de arquivos fornecidas aos arquivos criptografados. Outras variantes que vimos incluem zepto, thor e osiris. Agora temos Diablo6.

Pequenas alterações em malwares conhecidos os tornam revigorados e novos novamente

A segurança do endpoint está melhorando diariamente, mas também se aprimoram os cibercriminosos, o que torna a detecção dos ataques um jogo sem fim de gato e rato. Descobriu-se que, muitas vezes, os autores de malwares monitoram proativamente as taxas de detecção de seus produtos, permitindo-lhes ficar um passo à frente dos vendedores de antivírus ao fazerem melhorias em seu código para evitar a detecção. Em alguns casos, os autores podem fazer pequenas mudanças em seu código para manterem seu malware tão perigoso para o usuário final como era no dia em que o lançou.

Este parece ser o caso com o ransomware Locky. Este antigo malware não precisava ter nada de novo, os autores da Locky só precisavam ajustar a única parte do processo que nunca pode ser consertada – o usuário final. A mudança mais recente do Locky veio como uma das formas mais populares de propagação de malwares: enviando e-mails de phishing.

Fonte: Security Report