Violación de la OPM: Locky explota los datos robados de las víctimas

El virus virus Locky ha sido admitido como una de las ciber infecciones más activas de la primera mitad de este año. Sin embargo, con sus enfoques de distribución ampliados, este virus no espera abandonar su posición de líder por el momento. De hecho, se estima que actualmente, sobre el 97% de los emails con archivos adjuntos maliciosos traen el virus Locky o una versión modificada de él. Entre esas versiones se encuentran Thor, Shit virus, Perl ransomware y, posiblemente, unas pocas versiones más remakes de Locky que los expertos aún no han detectado.

Al hablar de los métodos de distribución e infiltración de Locky, estaríamos equivocados diciendo que no hay nada nuevo que aprender cada día. Por ejemplo, a principios de Noviembre, los analistas de virus mostraron otra gran campaña de malvertising o «mala publicidad» de ShadowGate que ahora difundía dos versiones de Locky a través del exploit kit Bizarro Sundown. Es una noticia y una adición peligrosa a los kits Angler y Rick que los desarrolladores de Locky han estado inicialmente usando para distribuir virus. Pero quizás el descubrimiento más esencial que puede beneficiar a los usuarios normales es el realizado por el equipo PhishMe.

Los investigadores de PhishMe han descubierto una nueva táctica que usan los hackers para engañar a los usuarios a que descarguen los archivos adjuntos que traen consigo la carga explosiva de Locky. Los expertos la llaman el Fraude Bancario OPM o simplemente estafa OPM. OPm pertenece a la Oficina de Administración de Personal de EE.UU – una institución bajo el nombre que los hackers muestran a sus potenciales víctimas en una notificación fraudulenta que alerta sobre una supuesta ofensa financiera. Los usuarios reciben el siguiente mensaje:

Dear [NAME],
Carole from the bank notified us about the suspicious movements on out account. Examine the attached scanned record. If you need more information, feel free to contact me.

Este email está acompañado de un archivo adjunto ZIP que esconde el infeccioso archivo JavaScript. Solo necesita que el usuario abra este archivo y el virus Locky se descargará automáticamente. Es interesante que el virus se centre específicamente en las víctimas de las infames brechas de OPM que ocurrieron en 2014 y 2015. En otras palabras, los creadores de Locky se han centrado en explotar los miedos del actual ciber crimen para llegar a infectar los ordenadores de las víctimas. Para cubrir sus ataques, los hackers han usado ya alrededor de 323 nombres de archivos adjuntos únicos, mientras que la carga del virus fue descargada desde 78 URLs distintas. Estas prácticas dificultan la detección y prevención del virus y, generalmente, elevan la distribución de los ransomware a otro nivel. Por ello, se recomienda encarecidamente a los titulares de las empresas informar a sus equipos sobre las precauciones de la seguridad online y a que siempre seleccionen soluciones de copias de seguridad de confianza.