ИБ-эксперты предупреждают о скором появлении более сложных и опасных модификаций вымогателя Locky — модифицированные образцы зловреда уже замечены itw.

Чтобы избежать детектирования, операторы Locky вносят изменения в коммуникации между зараженным компьютером и командным сервером, как обнаружили исследователи из Check Point.

В Check Point также впервые заметили, что в распространении Locky задействован эксплойт-пак Nuclear. «Эта находка демонстрирует, что Locky больше не ограничивается распространением через спам и заручился поддержкой продавцов эксплойт-паков с черного рынка», — отметила Майя Горовиц (Maya Horowitz), руководитель исследовательской группы в Check Point.

Она также подчеркнула, что Locky постепенно перенимает привычки других известных вымогателей вроде CryptoWall и TeslaCrypt, которые одинаково активно раздаются через спам и эксплойт-паки. Однако основным каналом распространения для Locky пока остается спам.

Специалисты из Check Point отметили по крайней мере два актуальных изменения в коммуникациях Locky. По мнению Горовиц, ИБ-исследователям необходимо понять природу этих изменений, чтобы эффективно отражать атаки.

Однако эксперт признает, что значение модификаций Locky не стоит преувеличивать. Хакеры просто поменяли порядок заголовков в запросах с инфицированной машины и добавили еще два, чтобы обмануть защитные решения, которые уже знают схему обмена зловреда с командной инфраструктурой. Блог-запись, суммирующую новые изменения, Check Point опубликовала в минувший понедельник.

«Метод коммуникации Locky снова изменился, — пишут эксперты. — В ходе исследования эксплойт-паков мы столкнулись с еще одной модификацией в одном из вариантов Locky, распространяемом через Nuclear. На этот раз изменения значительны и касаются как загрузчика, доставляемого через эксплойт-пак, так и протокола обмена зловреда с командным сервером».

По словам исследователей, Locky набирал мощь с момента первого обнаружения 16 февраля — вымогатель уже пытался заразить компьютеры более чем в 100 странах. Основным вектором атаки были спам-сообщения, к которым прилагался Word-документ, содержащий вредоносный макрос. При запуске макроса исполняется скрипт, и Locky загружается на компьютер жертвы. Новое исследование, надеются в Check Point, поможет своевременно проинформировать инфосек-сообщество о новом способе связи Locky с C&C-сервером.

С февраля исследователи Check Point зарегистрировали по крайней мере десять различных вариантов загрузчика Locky. Каждый из них пытался обойти антивирусы, пряча целевую нагрузку в различных типах файлов (.doc, .docm, .xls и .js), выдаваемых за неоплаченные счета.

Locky, по свидетельству Check Point, не является уникальным вымогателем, наоборот, его успех зиждется на очень эффективных спам-кампаниях.

ИБ-компания Trustwave 10 марта наблюдала массированную спам-атаку, в ходе которой распространялся загрузчик Locky. На тот момент зловред содержался в 18% всех спам-сообщений, выявленных аналитиками в течение недели, хотя обычно показатель вредоносного спама составляет не более 2% от общего количества спам-сообщений.

Категории: Аналитика, Вредоносные программы