В этом месяце исследователи заметили масштабную кампанию Locky, целью которой стали учреждения здравоохранения. Зловред доставляется при помощи фишинговой рассылки. Вредоносный компонент заключен во вложениях .DOCM с вредоносными макросами, говорится в отчете компании FireEye.

Наибольший урон нанесен больницам в США; также пострадали учреждения в Японии, Корее и Таиланде.

Исследователь Ронгва Чон (Ronghwa Chong) отметил, что в ходе нынешней атаки Locky использует новую тактику: в марте киберпреступники использовали для распространения спам с вредоносным JavaScript.

«Резкий скачок количества детектов и изменения в тактике говорят о том, что киберпреступники вкладывают больше усилий в распространение зловреда и увеличение прибыли, — пишет Чон. — Кроме того, мы обнаружили, что распространение Dridex через этот канал практически прекратилось, что объясняет резкую активизацию распространения Locky».

В июне исследователи Proofpoint отметили более активное распространение банковского троянца Dridex, а также вымогателя Locky через ботнет Necurs.

Тщательно проанализировав поддельные сообщения, содержащие загрузчик Locky, след вымогателя в Сети, а также вредоносное DOCM-вложение, исследователи смогли найти связь между массивными волнами спама в этом месяце. Эта связь может быть признаком того, что атаки могут быть скоординированы группой хакеров или осуществлены одним и тем же злоумышленником.

«Каждая email-кампания имеет уникальный одноразовый код для загрузки вредоносного компонента Locky c сервера атаки», — отметил Чон. Также исследователи заметили вредоносную URL-ссылку, внедренную в макрокод при помощи одной и той же функции кодирования, которая применяется в соответствии с уникальным ключом в каждой кампании.

Кроме учреждений здравоохранения в результате атак пострадали компании из телекоммуникационного, транспортного и производственного секторов.

Вымогатель Locky известен масштабной атакой на Пресвитерианский госпиталь в Голливуде в феврале, в результате чего учреждение вынуждено было заплатить $17 тыс. за дешифратор. Как считают эксперты по безопасности, больницы стали основной мишенью вымогателей из-за сочетания низких стандартов обеспечения безопасности и высокой ценности данных.

В течение последних месяцев Locky превратился в вымогателя номер один, говорится в отчете Proofpoint. Во втором квартале из всех email-атак с вредоносными вложениями 69% содержали Locky. «Это на 45% больше, чем в первом квартале, если говорить только о Locky», — сообщают в Proofpoint.

«Количество загрузчиков Locky увеличивается, а техники и инструментарий, используемые в кампаниях, постоянно изменяются. В данном случае мы наблюдаем, что злоумышленники отказываются от JavaScript-загрузчика в пользу DOCM с вредоносными макросами. Кроме того, тенденции в мире киберпреступности показывают, что хакеры распространяют больше вымогателей, чем банкеров, так как первые приносят больше прибыли», — пишет Чон.

Категории: Вредоносные программы, Кибероборона, Хакеры