Resurge el ransomware Locky y es más difícil detectarlo

La nueva variante ha tomando técnicas de ataque de Dridex y utiliza un proceso de infección en dos etapas, lo que aumenta las posibilidades de que las víctimas instalen el ransomware.

Poco después de haber sido eliminado, el ransomware Locky ha regresado. Los investigadores de ciberseguridad en Cisco Talos han observado un aumento en los correos electrónicos que distribuyen Locky, con más de 35.000 correos electrónicos enviados en pocas horas.

Este aumento de los envíos se atribuye a la botnet Necurs, que hasta hace poco se centraba en spam y estafas del mercado de valores.

Locky, el ransomware que impulsó el boom del malware de cifrado de archivos el año pasado, es aún más difícil de detectar ahora. Durante 2016, el ransomware costó a sus víctimas cerca de 1.000 millones de dólares, con Locky como una de las variantes más difundidas, infectando a organizaciones en todo el mundo.

Esta vez, la campaña Locky está aprovechando una técnica de infección asociada con la botnet de Dridex en un esfuerzo por aumentar las posibilidades de comprometer a más usuarios.

Así, Locky comienza con una táctica familiar, un correo electrónico de phishing con un archivo adjunto. El mensaje de reclamación es un documento que detalla un pago o documentos escaneados, pero en lugar de la práctica más común de adjuntar un documento de Office dañado, se envía un PDF infectado. [Los investigadores han afirmado que Locky está aprovechando los documentos PDF por una simple razón: más ciberataques están explotando las macros de Office para distribuir malware, aumentando la concienciación sobre las amenazas potenciales].

Al abrir el documento infectado, a la víctima se le pide que autorice al lector de PDF a abrir un segundo archivo. Este segundo archivo es un documento de Word que solicita permiso para ejecutar macros y que se utiliza para descargar el ransomware Locky. Este proceso de infección en dos etapas aumenta las posibilidades de que los usuarios instalen el ransomware.

Esta nueva versión de Locky está exigiendo un rescate en bitcoins equivalente a 1.200 dólares (1.100 euros), superior a las anteriores. Otra diferencia es que el ransomware pide a las víctimas que instalen el navegador Tor para ver el sitio de pago del rescate. Lo que los investigadores sugieren es que los servicios de proxy de Tor frecuentemente están bloqueados.