OPM pārkāpuma sekas: Locky izmanto no upuriem nozagtos datus

Locky vīruss tiek uzskatīts par vienu no visaktīvākajām kiberinfekcijām šī gada pirmajā pusē. Tomēr ar tā paplašinātās izplatīšanas pieejamām, paredzams, ka šis vīruss tuvākajā laikā neatstās savu vadošo pozīciju. Faktiski pašlaik aprēķināts, ka apmēram 97% no visiem ļaunprātīgajiem e-pasta pielikumiem satur pašu Locky vīrusu vai tā modificētu versiju. Starp šīm versijām ir Thor, Shit virus, Perl izspiedējvīruss un iespējams daži citi ļaunprātīgi Locky pārveidojumi, ar kuriem eksperti vēl nav saskārušies.

Runājot par Locky izplatīšanas un iefiltrēšanas metodēm mēs melotu, ja teiktu, ka nav nekā jauna, ko uzzināt katru dienu. Piemēram, novembra sākumā vīrusus analītiķi atklāja, ka cita liela ļaunreklāmas akcija ShadowGate ar Bizarro Sundown mūķu kopu tagad izplata divas Locky versijas. Tas ir jauns un bīstams papildinājums Angler un Rig mūķiem, ko Locky izstrādātāji sākumā izmantoja vīrusa izplatīšanai. Bet iespējams vissvarīgāko atklājumu, kas var dot labumu parastiem lietotājiem, izdarījusi PhishMe komanda.

PhishMe pētnieki atklājuši jaunu taktiku, ko izmanto hakeri, lai ar viltu piespiestu lietotājus lejupielādēt Locky vērtumu saturošus e-pasta pielikumus. Eksperti to sauc par OPM Bank Fraud vai vienkārši par OPM shēmu. OPM ir ASV Personāla vadības birojs – iestāde , kuras vārdā hakeri piegādā saviem potenciālajiem upuriem krāpniecisku paziņojumu, kurš brīdina par šķietam finansiālu pārkāpumu. Lietotāji saņem šādu ziņojumu:

Dear [NAME],
Carole from the bank notified us about the suspicious movements on out account. Examine the attached scanned record. If you need more information, feel free to contact me.

Šim e-pastam pievienots ZIP faila pielikums, kas slēpj inficējošu JavaScript failu. lietotājiem tikai jāatver šis fails un nekavējoties sākas Locky lejupielāde. Interesanti, ka vīruss īpaši mērķē uz zemisku 2014. un 2015. gadā notikušo OPM pārkāpumu upuriem. Citiem vārdiem, Locky radītāji cenšas izmantot iepriekšējo kibernoziegumu upuru bailes, lai inficētu to datorus. Lai slēptu savas pēdas, hakeri jau ir izmantojuši vairāk kā 323 unikālus pielikumu nosaukumus, bet vīrusa vērtums tika lejupielādēts no 78 atšķirīgiem URL. Šādas prakses apgrūtina vīrusa atklāšanu un novēršanu un vispār pārnes izspiedējvīrusa izplatību citā līmenī. Tādā veidā kompāniju īpašniekiem stingri ieteikts informēt savu personālu par tiešsaistes drošības pasākumiem un izvēlēties uzticamu datu dublēšanas risinājumu.

Linas Kiguolis
Linas Kiguolis

Speciālists ļaunatūru, vīrusu un spiegojumprogrammu apkarošanā

Sazināties ar Linas Kiguolis
Par Esolutions uzņēmumu

Lasīt citās valodās
Faili
Programmas
Salīdzināt