Ransomware Locky ataca a hospitales en una ola masiva ataques de ransomware en macros de DOCM
Una campaña masiva del ransomware Locky ocurrida en este mes tuvo como principal objetivo el sector sanitario y se entregó en campañas de phishing. La carga útil, dijeron investigadores de FireEye, se hizo llegar a través de adjuntos .DOCM, que son documentos de Office 2007 de Word con macros.
Afectó especialmente a hospitales en los Estados Unidos, seguido de Japón, Corea y Tailandia, según un estudio publicado por FireEye.
El investigador Ronghwa Chong dijo que este bombardeo basado en macros del ransomware Locky es una nueva táctica para los cibercriminales quienes en marzo distribuyeron Locky mediante campañas de spam y el ejecutable entregado a través de adjuntos de JavaScript.
“Estos picos de detección y cambios en las tácticas sugieren que los cibercriminales están invirtiendo más para infectar los sistemas y maximizar sus ganancias”, escribió Chong. “Además, hemos observado que la entrega de Dridex a través de este canal de distribución parece haberse detenido, o casi, lo que podría explicar por qué estamos viendo el repunte de Locky”.
Fue en el mes de junio cuando los investigadores de Proofpoint observaron un aumento en la distribución del troyano bancario Dridex y una nueva versión del ransomware Locky siendo distribuido a través de la botnet Necurs.
Al revisar a detalle los correos falsificados de Locky, los patrones de red del ransomware y el DOCM adjunto, los investigadores fueron capaces de encontrar una conexión clara entre las grandes olas de spam lanzadas ??por los atacantes este mes que indican los esfuerzos coordinados de uno o múltiples atacantes.
“Cada campaña de correo electrónico tiene un código ‘de un solo uso’ especifico que se utiliza para descargar Locky desde el servidor de malware malicioso”, señaló Chong. Los investigadores también observaron una URL maliciosa incrustada en el código de la macro de Locky que está codificada utilizando una función de codificación idéntica que varía con una llave específica para cada campaña.
También este mes se vieron afectadas por Locky industrias de telecomunicaciones, transporte y manufactura.
Ver información original al respecto en Fuente:
http://www.seguridad.unam.mx/noticia/?noti=2971
COMENTARIO de ciudadwifi sobre las macros de los DOCM:[/b]
Se puede entrar en un docm o cualquier otro archivo con macros de office y poder editar, sin hacerlas saltar al arrancar… y es tan fácil como mantener pulsada una tecla al darle a abrir el archivo. Realmente es la forma de entrar cuando programamos y no queremos hacer saltar nuestro propio código y que todo quede como lo tenemos preparado para el cliente (normalmente se le deja hacer justo lo único que quieres que se haga para que no la jodan). Pero eso es lo que hay que hacer siempre con un archivo con macros y que no conocéis… la primera vez abrirlo así y ver que carga en arranque, y en 5 segundos se sabe si hay que preocuparse (si sabes que tienes que buscar)…
Aun así, como en casi todos estos el docm es el vector de infección, pero lo que hace verdadero daño suele ser un VBS o JS, y hay forma de protegerse sencilla: deshabilitar Windows Script Host, que para la mayoría de los usuarios domésticos no lo notarán y se protegerán de muchísimos peligros, y por encima, si salta algo, pues te avisa de que se ha intentado correr un script. Y para eso solo hay que crear 2 valores en el registro (por defecto como viene activado, no existen), uno en HKEY_CURRENT_USER y otro en HKEY_LOCAL_MACHINE…
saludos
ms, 22-8-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.