Locky est ransomware retour une fois de plus, cette fois propagée par un nouveau kit exploiter, sur la base du Sundown précédemment connu. Le nouveau kit exploit est surnommé Bizarro Sundown et a d'abord été remarqué sur Octobre 5 et puis de nouveau sur Octobre 19, tel que rapporté par des chercheurs de TrendMicro.
Apparemment, le plus grand nombre d'utilisateurs infectés par cette campagne se trouve actuellement à Taiwan et en Corée. L'EK est un peu comme son prédécesseur, mais avec quelques améliorations telles que les caractéristiques anti-analyse ajoutés. Plus, l'attaque observée sur Octobre 19 modifié son URL formelle d'imiter les publicités Web légitimes. Les chercheurs disent que les deux versions ont été utilisées dans la campagne Shadowgate / WordsJS.
En savoir plus sur la campagne Shadowgate
Tout d'abord identifié dans 2015, la campagne Shadowgate ciblée Revive et les serveurs de publicité open-source de OpenX qui ont été installés localement. Une fois compromise, les serveurs agissent comme passerelles vers le kit exploit pour la distribution de logiciels malveillants. Alors que la campagne aurait été arrêté en Septembre de cette année, nous avons constaté qu'il est toujours en vie et bien, en utilisant 181 sites pour livrer ransomware compromis.
TrendMicro observé Shadowgate en Septembre déployant le Neutrino exploit kit pour déposer une variante de Locky (l'extension .zepto). Sur Octobre 5, la campagne passe à Bizarro Sundown. Deux semaines plus tard, en octobre 19, une version modifiée de Bizarro Sundown a été détectée.
Un regard sur les dernières attaques tombant Locky ransomware
Il y a une chose particulièrement intéressante à propos de ces attaques et il est que le nombre de machines infectées tombe à zéro le week-end.
Les chercheurs ont observé la campagne Shadowgate "la fermeture de leurs redirections et le retrait du script de redirection malveillante du serveur compromis pendant le week-end et de reprendre leurs activités malveillantes sur les journées de travail."
Les victimes des campagnes sont des utilisateurs à Taïwan et en Corée du Sud, mais aussi en Allemagne, Italie, et la Chine.
Quelles vulnérabilités sont exploitées dans les attaques?
Les vulnérabilités déployées dans les scénarios d'attaque réussis sont CVE-2016-0189, CVE-2015-5119, et CVE-2016-4117:
La première version de Bizarro Sundown cible une vulnérabilité de corruption de mémoire dans Internet Explorer (CVE-2016-0189, fixe mai 2016) et deux failles de sécurité dans Flash: une vulnérabilité use-after-free (CVE-2015-5119) et un bug de lecture out-of-bound (CVE-2016-4117). Le premier a été fixé il y a plus d'un an (Juillet 2015), avec le second patché plus tôt cette année (Mai 2016).
deuxième version de Bizarro Sundown utilisé les deux exploits de Flash.
Pour éviter les infections de logiciels malveillants, assurez-vous que votre système est protégé en tout temps!
Spy Hunter scanner ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter