Posljedice provale u OPM: Locky iskoristio podatke koje je ukrao žrtvama
Virus Locky priznat je kao jed na od najaktivnijih cyber infekcija tijekom prve polovice ove godine. Ipak, s proširenim pristupom vlastitoj distribuciji, ne očekuje se da će ovaj virus tako skoro prepustiti svoju vodeću poziciju. Zapravo se u ovom trenutku procjenjuje da 97% svih malicioznih privitaka u email porukama u sebi nosi upravo virus Locky ili neku njegovu modificiranu verziju. Među tim verzijama su Thor, virus Shit, ransomware Perl i vjerojatno još neke maliciozne varijante virusa Locky na koje stručnjaci zasad nisu još naišli.
Ako pričamo o metodama distribucije i infiltracije virusa Locky, ne bismo bili u pravu kad bismo rekli da svaki dan ne naučimo nešto novo. Na primjer, početkom studenog, analitičari virusa otkrili su da još jedna kampanja malicioznog oglašavanja, ShadowGate, širi internetom dvije verzije virusa Locky uz pomoć exploit kita Bizarro Sundown. Novi je to i opasni dodatak Angleru i Rigu koje su developeri virusa Locky instalirali za distribuciju samog virusa. Ipak, za najbitnije otkriće koje može biti korisno običnim korisnicima zaslužan je tim PhishMe.
Stručnjaci tima PhishMe otkrili su novu taktiku koju koriste hakeri ne bi li prevarili korisnike i natjerali ih na preuzimanje privitaka u emailu koji u sebi nose Locky. Stručnjaci to nazivaju bankovna prevara OPM ili jednostavno OPM prevara. OPM označava “US Office of Personnel Management”, a institucija je to pod čijim imenom svojim potencijalnim žrtvama dostavljaju prevarantske notifikacije koje ih upozoravaju na navodne financijske prekršaje. Korisnici dobivaju sljedeću poruku:
Dragi [IME],
Carole iz banke obavijestila nas je o sumnjivim transakcijama na vašem računu. Molimo vas da pregledate skenirani izvještaj u privitku. Ako su vam, potrebne još neke informacije, slobodno me kontaktirajte.
Uz taj email dolazi privitak sa ZIP datotekom u kojem se skriva inficirana JavaScript datoteka. Samo je potrebno da korisnik otvori tu datoteku i preuzimanje virusa Locky odmah će početi. Zanimljivo je da virus napada isključivo žrtve zloglasnih provala u OPM koje su se dogodile 2014. i 2015. Drugim riječima, kreatori virusa Locky žele izazvati strah kod prijašnjih žrtava cyber zločina, samo da bi zarazili njihova računala. Da bi sakrili svoje tragove, hakeri su već upotrijebili više od 323 jedinstvenih imena privitaka, dok je sam virus preuzet sa 78 različitih URL-a.Takve metode onemogućavaju detekciju i prevenciju virusa i, općenito, dižu distribuciju ransomware programa na jedan viši nivo. Zbog toga vlasnicima kompanija toplo preporučujemo da obavijeste svoje zaposlenike o mjerama predostrožnosti za online sigurnost i odaberu pouzdano rješenje za sigurnosne kopije (backup) podataka.