Τι μάθαμε από το OPM breach: Ο ιός Locky εκμεταλλεύεται τα δεδομένα που υποκλέπτει από τους χρήστες-θύματα

Ο ιός Locky virus είναι αδιαμφισβήτητα μια από τις πλέον ενεργές κι επικίνδυνες κυβερνο-απειλές κατά τη διάρκεια του πρώτου μισού αυτού του έτους. Και δυστυχώς, τα ποσοστά του αναμένονται να αυξηθούν περαιτέρω λόγω των πολύ επιτυχημένων τρόπων διαδικτυακής εξάπλωσης που χρησιμοποιεί.

Τα ποσοστά πραγματικά τρομάζουν. Ενδεικτικά, περίπου το 97% όλων των κακόβουλων email επισυνάψεων που έχουν εντοπιστεί κι αναφερθεί σχετίζονται είτε με τον ίδιο τον ιό Locky virus ή κάποιο από τα παράγωγά του. Ορισμένοι από τους ιούς που σχετίζονται με τον ιό Locky: Thor, Shit virus, Perl ransomware κλπ.

Με την πάροδο του χρόνου διαπιστώσαμε ότι ο ιός Locky αν και συνεχίζει να ακολουθεί κάποια συγκεκριμένα μοτίβα, ωστόσο θα ήταν λάθος να πούμε ότι δεν εξελίσσεται, καθώς όλο και κάτι καινούριο ανακαλύπτεται σχετικά με τον ιό Locky.

Για παράδειγμα, αρχές Νοεμβρίου διαπιστώσαμε ότι και η ShadowGate, άλλη μια malvertising καμπάνια, εξαπλώνει διαδικτυακά δυο εκδόσεις του ιού Locky μέσω του Bizarro Sundown exploit kit. Πρόκειται για μια νέα και πολύ επικίνδυνη προσθήκη στα ιδιαιτέρως ύπουλα κι επικίνδυνα Angler και Rig kits που έως τώρα χρησιμοποιούσαν οι δημιουργοί του ιού Locky για τη διαδικτυακή εξάπλωση αυτού του καταστροφικού κακόβουλου προγράμματος. Πάντως, την πιο σημαντική ανακάλυψη έκανε η εξιδεικευμένη ομάδα της PhishMe.

Αναλυτικότερα, οι πολύ έμπειροι ειδικοί σε θέματα συστημάτων και διαδικτυακής ασφάλειας της PhishMe, ανακάλυψαν μια νέα τακτική διαδικτυακής εξάπλωσης που άρχισαν να χρησιμοποιούν οι hackers για την παραπλάνηση μεγαλύτερου αριθμού χρηστών, ώστε οι δεύτεροι να κατεβάσουν εν τέλει τις κακόβουλες email επισυνάψεις που εμπεριέχουν τον ιό Locky. Οι ειδικοί ονομάζουν αυτή τη νέα τακτική OPM Bank Fraud ή OPM scam. Το OPM είναι τα αρχικά του US Office of Personnel Management — ένα κρατικό ίδρυμα το όνομα του οποίου χρησιμοποιούν οι hackers στα spam emails τους. Αυτά, σχετίζονται με δήθεν αξιόποινες οικονομικές απάτες στις οποίες υπέπεσαν οι χρήστες-θύματα. Το περιεχόμενο του παραπλανητικού και κακόβουλου αυτού email είναι το εξής:

Dear [NAME],
Carole from the bank notified us about the suspicious movements on out account. Examine the attached scanned record. If you need more information, feel free to contact me.

Αυτό το email συνοδεύεται από μια ZIP επισύναψη στην οποία κρύβεται το κακόβουλο JavaScript αρχείο. Αρκεί ο χρήστης-θύμα να ανοίξει το αρχείο για να ξεκινήσει αυτόματα η λήψη του ιού Locky στο σύστημα του υπολογιστή του χρήστη-θύματος.

Αξίζει να σημειωθεί ότι ο ιός στοχεύει συγκεκριμένα τους χρήστες που έπεσαν θύματα της μεγάλων-διαστάσεων OPM υποκλοπής που έλαβε χώρα μεταξύ 2014-2015. Με άλλα λόγια, οι δημιουργοί του ιού Locky προσπαθούν να κτίσουν ακόμα μεγαλύτερο κλίμα τρομοκράτησης των χρηστών που έπεσαν θύματα της συγκεκριμένης κυβερνο-απάτης.

Μάλιστα, για να καλύψουν τα ίχνη τους, έχει διαπιστωθεί ότι οι συγκεκριμένοι hackers έχουν χρησιμοποιήσει ήδη πάνω από 323 μοναδικά ονόματα για τις κακόβουλες επισυνάψεις τους, ενώ ο ιός Locky έχει καταφέρει να κατέβει από 78 διαφορετικά URLs. Όπως μπορεί να γίνει πολύ εύκολα κατανοητό, οι συνεχώς εναλασσόμενοι τρόποι με τους οποίους καταφέρνει και ‘ξεγλιστράει’ ο ιός Locky, κάνουν τον εντοπισμό και την ολοκληρωτική αφαίρεσή του ένα ιδιαιτέρως πολύ δύσκολο και περίπλοκο ζήτημα. Κοινώς, θα μπορούσαμε να πούμε ότι οι τεχνικές και τα μέσα που χρησιμοποιεί ο ιός Locky για τη διαδικτυακή εξάπλωσή του μας κάνει να αναθεωρήσουμε εκ βάθους τους τρόπους διαδικτυακής εξάπλωσης που εφαρμόζουν οι ιοί ransomware!

Συνοψίζοντας, είναι άκρως αναγκαίο οι ιδιώτες, αλλά και οι εταιρείες, να πάρουν τη διαδικτυακή ασφάλεια πολύ σοβαρά, γιατί διαφορετικά είναι πολύ πιθανόν να βρεθούν αργά ή γρήγορα προ πολύ δυσάρεστων και οικονομικά δυσβάσταχτων καταστάσεων. Επομένως, είναι πολύ σημαντική η σωστή ενημέρωση των χρηστών σχετικά με τη διαδικτυακή ασφάλεια, καθώς και η εγκατάσταση ενός (ή περισσότερων) πλήρως ενημερωμένου κι αξιόπιστου λογισμικού ασφάλειας. Τέλος, επιβάλλεται το τακτικό backup σε εξωτερικές μονάδες αποθήκευσης ή online πλατφόρμες αποθήκευσης (βλ. cloud backup services).