Nuova violazione OPM: Locky sfrutta i dati rubati alle sue vittime

Locky virus è stata considerata una delle cyber infezioni più attive nella prima metà di quest’anno. Inoltre grazie ai suoi nuovi e migliori metodi di distribuzione, questo virus non sembra voler perdere questo primato. Infatti, si stima al momento che il 97% degli allegati email infetti trasporti il virus Locky o una versione modificata di questo virus. Tra queste versioni ci sono Thor, Shit virus, Perl ransomware e probabilmente altri remake della versione di Locky che gli esperti non hanno ancora incontrato.

Parlando delle tecniche di infiltrazione e distribuzione usate da Locky sbaglieremmo nel dire che non ci sono novità quasi ogni giorno. Per esempio, nei primi di Novembre gli analisti hanno scoperto che una nuova compagna di malvertising avviata da ShadowGate ora diffonde due versioni di Locky tramite l’exploit kit Bizarro Sundown. Si tratta di una nuova e pericolosa aggiunta ai kit Angler e Rig che gli sviluppatori Locky hanno inizialmente utilizzato per distribuire il virus. Tuttavia la scoperta essenziale in grado di aiutare gli utenti è stata fatta dal team PhishMe.

I ricercatori del team PhishMe hanno scoperto una nuova tecnica usata dagli hacker per ingannare gli utenti così da fargli scaricare gli allegati email contenenti il payload di Locky. Gli esperti l’hanno chiamata truffa OPM Bank Fraud o semplicemente la truffa OPM. OPM sta per US Office of Personnel Management — una istituzione tramite la quale gli hacker rilasciano alle potenziali vittime una notifica ingannevole che rilascia un avvertimento riguardo un presunto reato finanziario. L’utente riceve il seguente messaggio:

Caro [NOME],

Carole dalla banca ci ha notificato un’attività sospetta riguardo alcuni movimenti sul tuo account. Esamina l’allegato. Se necessiti di più informazioni, sentiti libero di contattarci.

Questa email è accompagnata da un file ZIP allegato che nasconde un file JavaScript infetto. L’utente dovrà solamente aprire questo file e il download di Locky verrà avviato immediatamente. É interessante notare che il virus prende di mira le stesse vittime prese di mira in una precedente truffa OPM che prese luogo tra il 2014 e il 2015. In altre parole, i creatori di Locky vorrebbero sfruttare le paure degli utenti per infettare i loro computer. Per coprire i loro trucchi gli hacker hanno già utilizzato oltre 323 diversi nomi per gli allegati, mentre il payload del virus viene scaricato da 78 diversi URL. Queste tecniche offuscano la possibilità di riconoscere il virus, rendono difficile la sua prevenzione e generalmente aumentano la possibilità del ransomware di essere distribuito. Per questo i proprietari di aziende ci tengono particolarmente ad avvisare e informare i loro dipendenti riguardo le precauzioni da prendere per la sicurezza online ed è importante sottolineare anche l’importanza di eseguire sempre un backup.