Alerta aumento de spam con ransomware

Las firmas de seguridad advierten sobre el aumento repentino en los mensajes de correo electrónico basura que contienen ransomware. Se culpa por este aumento al grupo detrás de un nuevo tipo de ransomware llamado Locky.

Una firma de seguridad reportó que una versión de Locky, producida hace dos semanas, es la segunda forma de ransomware más prevalente que se ve.

Las estadísticas sugieren que los Estados Unidos, Francia y Japón fueron los objetivos principales del grupo detrás de Locky.

Como muchos otros programas maliciosos de tipo ransomware, Locky cifra los datos en un equipo infectado y pide un pago para proveer la llave de descifrado. Actualmente Locky pide 3 bitcoins (22,340 pesos mexicanos) como pago.

Las primeras versiones de Locky escondían el archivo adjunto malicioso que se encargaba del cifrado en add-ons o en macros para Microsoft Word. Ahora, dicen las firmas de seguridad, sus creadores utilizan adjuntos desarrollados en Javascript.

“Actualmente estamos viendo grandes cantidades de archivos adjuntos de Javascript siendo distribuidos como spam”, dijo Rodel Mendrez, experto en seguridad de Trustwave, en el blog de la compañía.

El cambio a Javascript ha ayudado a Locky a evitar ser detectado por software antivirus, dijo Trustwave.

En las horas pico de spam, escribe Mendrez, alrededor de 200,000 mensajes con ransomware como archivo adjunto fueron enviados a sus servidores de correo no deseado.

La firma de seguridad Fortinet dijo que recolectó casi 19 millones de copias de correos con ransomware en las dos últimas semanas. La última versión de Locky, que utiliza el archivo adjunto con Javascript, representa 16.5% de este total, comentó Roland Dela Paz en el blog.

La familia de ransomware más prevalente en ese total fue Cryptowall, que fue encontrado en 83.5% de los correos con ransomware recolectados. Cryptowall apareció por primera vez en el 2014.

El aumento de spam ha ayudado a Locky a establecerse como una “presencia significativa” en el mundo del ransomware, dijo Dela Paz.

Los atacantes que enviaron grandes cantidades de spam con Locky utilizaron la misma red de computadoras secuestradas, conocida como botnet, que fue empleada para distribuir el troyano bancario Dridex.

“Es la misma botnet, en un día diferente y con distinto payload”, dijo Mendrez.

Para evitar ser víctima, los usuarios y las compañías deben respaldar sus datos regularmente para que pueda ser restaurada si la máquina se infecta, añadió.
Ver informacion original al respecto en Fuente:
http://www.seguridad.unam.mx/noticia/?noti=2791

Comentario: Pues se ve que no les ha llegado el TESLACRYPT, 100 veces mas prolifico !!!. Por lo que hemos visto la actividad del ransomware TESLACRYPT es mucho mayo a primeras horas (madrugada hasta mediodia) posiblemente por venir de webs orientales, quizas es razon por la que en mexico les ataca menos…

Y hemos visto que un mismo enlace descargando malware de una web, en funcion de la hora descarga LOCKY o TESLACRYPT, asi que tendria sentido un ataque selectivo segun la franja horaria… vivir para ver !

saludos

ms. 15.3.2016