Az OPM feltörése után: A Locky az ellopott adatokat használja fel
A Locky vírus egyértelműen az év első felének egyik legaktívabb vírusa. Terjesztési módszerei pedig folyamatosan bővülnek, így nem is várható, hogy hamarosan elveszíti vezető pozícióját. A becslések szerint jelenleg a fertőző e-mailek körülbelül 97%-áért a Locky vírus vagy valamilyen módosított változata felel. A változatok közé tartozik a Thor, a Shit vírus, a Perl ransomware és valószínűleg egyelőre azonosítatlan változatok is.
A Locky terjesztési és bejutási módszereiről szinte minden nap újat lehet mondani. A vírusszakértők november elején például újabb nagyszabású félrevezető hirdetési kampányt azonosítottak. A ShadowGate kampány a Locky két nagyobb változatát is terjeszti a Bizarro Sundown exploit kit segítségével. Az Angler és a Rig mellett ez egy új, meglehetősen veszélyes tagja a Locky fejlesztői által használt exploitoknak. A hétköznapi felhasználókat is érintő legfontosabb felfedezést a PhishMe csapata tette.
A PhishMe új megtévesztési módszert fedeztek fel, amellyel a Locky-t tartalmazó e-mailes csatolmány letöltésére próbálják rávenni a potenciális áldozatokat. A szakértők az OPM Banki csalás vagy egyszerűen OPM csalás néven emlegetik. Az OPM az amerikai Office of Personnel Management rövidítése. A támadók ennek a szervezetnek a neve alatt küldenek megtévesztő e-mailt, amely valamilyen pénzügyi csalásra hívja fel a címzettek figyelmét. Az üzenet a következő:
Dear [NAME],
Carole from the bank notified us about the suspicious movements on out account. Examine the attached scanned record. If you need more information, feel free to contact me.
Az e-mailhez ZIP állományt csatoltak, amely egy fertőző JavaScript fájlt tartalmaz. A felhasználónak csak meg kell nyitnia ezt a fájlt, és a Locky letöltése azonnal el is indul. Érdekes, hogy a vírus kifejezetten az OPM 2014 és 2015 közötti feltörésének áldozatait célozza meg. Más szóval a Locky olyanokat próbál megtéveszteni, akik a korábbi eset miatt valószínűleg hiszékenyebbek is lesznek. Nyomaikat már több mint 323 különböző csatolmánynévvel próbálják eltűntetni, a vírus pedig 78 különböző címről töltődött már le. Az ilyen jellegű fertőzések elrejtőznek a vírusvédelmi rendszerek elől, a ransomware-terjesztést mondhatni teljesen új szintre emelik. A vállalatvezetőknek is fontos felelőssége, hogy tájékoztassák dolgozóikat az online biztonságról és a megfelelő biztonsági mentési megoldások kiválasztásáról.