Locky ransomware está de vuelta una vez más, este tiempo se extendió por un nuevo paquete de exploits, basado en el Sundown previamente conocida. El nuevo paquete de exploits es apodado Bizarro ocaso y se observó por primera vez de octubre 5 y luego de nuevo en octubre 19, según lo informado por los investigadores de TrendMicro.
Al parecer,, el mayor número de usuarios infectados por esta campaña se encuentra actualmente en Taiwán y Corea. La EK es muy similar a su predecesor, pero con algunas mejoras, tales como características de anti-análisis agregados. Más, el ataque observado de octubre 19 alterado su dirección URL formal para imitar publicidad web legítimos. Los investigadores dicen que ambas versiones se utilizaron en la campaña Shadowgate / WordsJS.
Más información sobre la campaña Shadowgate
Identificado por primera vez en 2015, la campaña dirigida Shadowgate revivir y servidores de publicidad de código abierto de OpenX que se han instalado de forma local. Una vez comprometida, los servidores actúan como puertas de entrada al paquete de exploits para la distribución de software malicioso. Mientras que la campaña fue supuestamente cerró en septiembre de este año, encontramos que todavía está vivo y bien, usando 181 sitios para entregar ransomware comprometida.
TrendMicro observó Shadowgate en septiembre de despliegue de la Neutrino exploit kit para dejar caer una variante de Locky (la extensión .zepto). En octubre 5, la campaña cambió a Bizarro Sundown. Dos semanas después, en octubre 19, Se detectó una versión modificada de Bizarro Sundown.
Una mirada a los últimos ataques que caen Locky ransomware
Hay una cosa en particular interesante de estos ataques y es que el número de máquinas infectadas se reduce a cero los fines de semana.
Los investigadores observaron la campaña Shadowgate "el cierre de sus cambios de dirección y la eliminación de la secuencia de comandos de redirección maliciosa desde el servidor comprometido durante los fines de semana y reanudar sus actividades maliciosas en los días laborables."
Las víctimas de las campañas son usuarios de Taiwán y Corea del Sur, sino también en Alemania, Italia, y china.
Lo que se aprovechan las vulnerabilidades en los ataques?
Las vulnerabilidades desplegados en los escenarios de ataque con éxito son CVE-2.016-0189, CVE-2015-5119, y CVE-2016-4117:
La primera versión de Bizarro ocaso como objetivo una vulnerabilidad de corrupción de memoria en Internet Explorer (CVE-2016-0189, fijado en de mayo de 2016) y dos fallos de seguridad en Flash: una vulnerabilidad de uso después de liberación (CVE-2015-5119) y un error de lectura de enlazado (CVE-2016-4117). El primero de ellos se fijó hace más de un año (Julio 2015), con el segundo parche a principios de este año (Mayo 2016).
la segunda versión de Bizarro Sundown utilizado los dos vulnerabilidades de Flash.
Para evitar las infecciones de malware, asegurarse de que su sistema está protegido en todo momento!
Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter