La razón por la que Locky ransomware aparece y desaparece intermitentemente

La vuelta de Locky ransomware

En los últimos tiempos hemos podido ver cómo los ransomware han estado muy presentes en Internet. Hemos oído hablar de varios de ellos que han afectado a muchos usuarios. Quizás uno de los más conocidos sea Locky. Ha aparecido y desaparecido varias veces. Recientemente hablamos de que había vuelto con dos nuevas variantes: Diablo6 y Lukitus. En este artículo vamos a hablar de la razón por la que desaparece y vuelve a aparecer al cabo de un tiempo atacando de nuevo a muchos usuarios.

Locky ransomware

En febrero de 2016, un centro médico de California fue infectado por Locky ransomware. Los sistemas de toda la instalación fueron cifrados, los ordenadores del personal médico bloqueados, así como los registros electrónicos. Un caos, más todavía tratándose de un hospital y lo serio del asunto.

Fue una de las primeras veces que escuchamos hablar de este ransomware. El hospital tuvo que pagar 17.000 dólares en Bitcoin (un total de 40, en aquella fecha) para desencriptar los archivos y volver a estar operativo.

Allen Stefanek, presidente del Centro Médico Presbiteriano de Hollywood dijo: “La forma más rápida y eficiente de restaurar nuestros sistemas y funciones administrativas fue pagar el rescate y obtener la clave de descifrado en el momento”.

Durante todo 2016 afectó a muchas más víctimas. Fue uno de los malware más importantes de ese año. Sin embargo en diciembre Locky desapareció. Para algunos simplemente se trataba de que quienes estaban detrás de este malware se habían ido de vacaciones de navidad. Otros creían que era un adiós definitivo.

En cualquier caso, un mes después volvió a estar presente y poner en riesgo los equipos de muchos usuarios. Eso sí, volvió en enero pero con mucha menos fuerza. Sin embargo las infecciones han estado creciendo y decreciendo desde entonces. ¿A qué se debe esto?

Locky ransomware aparece de nuevo

Vuelta de Locky

Después de meses con una actividad prácticamente nula, regresó el pasado mes de agosto y afectó a millones de usuarios a través de correos electrónicos de phishing.

Aunque nadie sabe realmente quién está detrás, muchos expertos coinciden en que estos parones en el tiempo es debido a una puesta a punto. En otras palabras: los hackers se toman un tiempo para actualizar su producto, mejorarlo, utilizar nuevas tácticas de ataque.

“Al igual que cualquier organización, necesitan tiempo para refinar el código y la infraestructura de mando y control, planificar nuevos vectores de ataque, organizar métodos de recaudación de los pagos de rescate y compilar nuevas listas de objetivos “, explica Troy Gill, gerente de investigación de seguridad de AppRiver.

Cada vez que Locky ha resurgido después de haber desaparecido durante un tiempo, ha estado haciendo algo un poco diferente, lo que sugiere que los que están detrás de él están experimentando.

Por ejemplo, un pico de Locky en abril vio el flirteo de ransomware con una nueva técnica de entrega con distribución a través de archivos PDF infectados en lugar de documentos de Office, una táctica asociada con la botnet de malware de Dridex.

Novedades

“El momento de estas reapariciones coincide estrechamente con la introducción de nuevos atributos como las extensiones más recientes de Diablo y Lukitus para archivos adjuntos y el uso de nuevas técnicas de distribución que implican documentos PDF o enlaces de phishing”, dice Brendan Griffin, gerente de inteligencia de amenazas de PhishMe.

“Estos períodos de ausencia Locky se utilizan como una oportunidad para construir sobre sus éxitos y encontrar nuevas y más inteligentes formas de entregar su ransomware”, añade Griffin.

Así pues, según coinciden los expertos, cuando Locky lleve un tiempo sin aparecer, no creamos que ha muerto; lo más normal es que vuelva con sofisticadas formas de atacar.

Ver información original al respecto en Fuente: