Tienes alguna consulta? (+598) 2400 4378

infouy@sadvisor.com

Viejo conocido: Ransomware Locky y sus variedades "Lukitus" y “Diablo6”

5 septiembre 2017
 septiembre 5, 2017
Categoría Noticias

En el último tiempo el ransomware ha sido protagonista de diversos ataques cibernéticos, los cuales han ocasionado variadas consecuencias a nivel mundial.

En esta oportunidad, y a pesar de que se trata de una variante que surgió hace ya un tiempo, el ransomware Locky y sus variedades “Lukitus” y “Diablo6”, tuvieron gran difusión. El motivo fue el lanzamiento de una campaña masiva la semana pasada que generó 23 millones de correos maliciosos en tan solo 24 horas generando una gran propagación.

¿En qué consiste el ataque?

Los usuarios de Windows reciben un correo que incluye un archivo adjunto comprimido, dentro del cual otro comprimido contiene el archivo con el código malicioso bajo la forma de un script de Visual Basic, o un PDF con un archivo DOCM embebido.

Cuando la víctima accede al archivo adjunto, se dispara un “downloader” que descarga una de las últimas versiones del ransomware Locky, una de ellas denominada Lukitus (bloqueado en finés) y la otra llamada Diablo6. A continuación, procede a encriptar todos los archivos que encuentra en el sistema.

Al terminar, aparece un mensaje que informa a la víctima que debe descargarse el navegador Tor y visitar el sitio del atacante para obtener instrucciones sobre cómo realizar el pago.

El rescate demandado es de 0.5 Bitcoin (algo así como unos 2.300 dólares USA al día de hoy) y la campaña referida aún estaba activa al comenzar esta semana. Lamentablemente, por el momento sin el desencriptador es imposible desencriptar los archivos afectados por estas variantes, si bien tampoco hay ninguna certeza respecto a que se pueda hacer aun después de pagar el rescate.

Ante este tipo de amenaza, Security Advisor recomienda:

Mantener el software lo más al día posible, con las actualizaciones de los fabricantes aplicados.
En caso de sistemas que no pueden ser actualizados, mantenerlos en zonas de la red sumamente controladas en cuanto a los accesos posibles.
• Realizar un respaldo continuo de todo aquello que resulte importante.
• Tener la certeza de que los respaldos funcionan, es decir, que es posible recuperar la información contenida en ellos en caso de ser necesario.
• Realizar estas pruebas con regularidad y constancia.
• Disponer de una seguridad perimetral activa y actualizada permanentemente, capaz de filtrar ítems maliciosos tanto de correos como de contenidos web.
• Ejecutar actualizaciones cada vez que haya algo disponible por parte del proveedor, o al menos una vez al día.
• Disponer de una solución antimalware para puestos de trabajo, y asegurarse de mantenerla actualizada permanentemente.
• Ser prudente con los correos recibidos que contienen adjuntos, y sobre los que no se tiene conocimiento previo de que se van a recibir.