Análisis de amenazas

Se acerca un nuevo ataque del ransomware Locky

Jan Širmer, 22 enero 2017

Sobre la base del análisis de los ataques anteriores del ransomware Locky, los expertos del laboratorio de amenazas Avast predicen la inminencia de otro ataque.

Se podría decir que el ransomware Locky, una variante de ransomware que llega como un adjunto de correo electrónico, encripta los archivos, cambia todos los nombres para que finalicen con la extensión locky y luego exige un pago para desencriptarlos y devolvérselos, se tomó unas vacaciones. La detección de Avast de Locky muestra que los ataques disminuyeron considerablemente entre los días anteriores a Navidad y los posteriores a Año Nuevo.

El laboratorio de amenazas de Avast analizó el ciclo de vida de Locky, y podemos ver pequeños picos, nuevos métodos de propagación, nuevos binarios, etc., que normalmente ocurren antes de que se inicie una nueva campaña. Este gráfico muestra datos de los últimos cien días en función de la cantidad de usuarios que vieron el descargador Locky. Observa que se produce una desaceleración durante los días anteriores a una nueva ronda de ataques, solo que esta vez transcurrieron más de 15 días, lo que no se ajusta al patrón. En general, la disminución no es tan importante como lo fue durante el periodo festivo de 2016.

locky_ransomware_holiday.png

Cuando tomamos en cuenta el motivo por el cual los incidentes de Locky disminuyeron durante los últimos 15 días, nos tenemos que preguntar lo siguiente:

  • ¿Los ataques ransomware disminuyeron durante las fiestas porque los usuarios de empresas, aquellos a quienes más victimizaron, no están en el trabajo?
  • ¿Los atacantes decidieron disminuir la cantidad de ataques totales?
  • ¿Están preparando una nueva campaña?
  • ¿Es posible que estén celebrando Navidad al igual que las víctimas potenciales?
  • Como el Grinch, ¿sus pequeños corazones triplicaron su tamaño y dejaron el negocio de ransomware?

Mi conjetura personal es que habrá una nueva campaña del ransonware Locky que comenzará después del 7 de enero.

 Cómo protegerse del ransomware Locky

  • Como siempre, no abras adjuntos sospechosos (p. ej., archivos .doc, .xls y .zip)
  • Desactiva los macros de Microsoft Office predeterminados y nunca habilites los macros de adjuntos extraños o desconocidos que recibas por correo electrónico
  • Guarda las copias de respaldo recientes de datos importantes en un lugar seguro, ya sea en línea o sin conexión
  • Asegúrate de que el sistema y las aplicaciones hayan recibido todos los parches y actualizaciones