Rede de Distribuição do Locky Ransomware é Atacada para Eliminar Ameaças de Criptografia
As ameaças de ransomware, como Locky, têm sido uma grande perturbação para inúmeros usuários de computador que tiveram seus arquivos do sistema criptografados pelo malware agressivo. À luz da natureza destrutiva do Locky Ransomware e de suas capacidades de criptografia de arquivos, uma entidade desconhecida invadiu a rede de distribuição, ou botnet, usada para espalhar a ameaça do Locky Ransomware. Eles atacaram a rede de uma forma que essencialmente descontamina a ameaça Locky Ransomware, desnudando sua capacidade de criptografar arquivos, onde exibirá apenas uma notificação de aviso.
Redes de distribuição são muitas vezes referidas como sendo uma botnet, que é um grupo de computadores comprometidos que foram infectados com malware que recebe instruções para realizar a partir de um servidor de comando e controle. À luz de como as ameaças de ransomware, como o Locky, se espalham, elas costumam ter uma botnet enviando e-mails de spam para inúmeros usuários de computador que incluem um arquivo de anexo malicioso que carregará a ameaça do ransomware se aberto.
Descoberto e reportado pela firma de segurança F-Secure, é uma saciação em que se descobriu que a ameaça Locky Ransomware não tinha sua carga de criptografia, deixando-a com a função de exibir apenas uma notificação de aviso. A mensagem de aviso deixada na versão separada do Locky é aquela que tenta avisar os usuários de computador que eles não devem abrir anexos de e-mail desconhecidos. Além disso, a ameaça benigna falha ao realizar qualquer ação pela qual o Locky Ransomware é conhecido, o que inclui a ação de criptografar arquivos e manter um sistema infectado por uma taxa de resgate.
A ameaça Locky Ransomware que foi despojada de suas funções originais é vendida da mesma maneira em que é incluída como um anexo de e-mail de spam dentro de um arquivo ZIP contendo um arquivo JavaScript. Os usuários que abrirem o arquivo ZIP e, em seguida, clicarem duas vezes no arquivo JavaScript, iniciarão a benigna ameaça Locky Ransomware, que exibirá a mensagem de aviso.
Acreditamos que a mensagem de que a benigna ameaça Locky Ransomware está tentando se comunicar é uma forma de advertir os usuários de computador sobre os perigos que enfrentam ao abrir anexos de e-mail de fontes desconhecidas.
Analisando como uma ameaça recente de ransomware foi despojada de sua funcionalidade, o pessoal da F-Secure tem certeza de que a rede de distribuição para Locky foi hackeada. Acontece que a prática de invadir botnets de malware e substituir suas cargas por outros conteúdos está se tornando uma ação comum. Além disso, a prática de substituir a carga útil de uma ameaça mal-intencionada por conteúdo pró-usuário parece ser a prática comum dos hackers que procuram ofuscar o sucesso de outros criadores de malware.
Aqueles que encontrarem a versão benigna do Locky Ransomware tomarão conhecimento da sua mensagem de alerta, que é mostrada na figura 1 abaixo e diz: Você está lendo esta mensagem porque abriu um arquivo malicioso, "o popup lê." Para sua segurança, não abra anexos de emails desconhecidos. "
figura 1. Versão benigna do pop-up de notificação do Locky Ransomware - fonte: F-Secure
Embora a recente remoção de funções do Locky Ransomware não seja a primeira vez que uma ameaça de malware foi substituída por funções diferentes por supostos hackers, ela demonstra uma técnica crescente que prevalece para alguns na tarefa de engenharia reversa de ameaças de malware. Além disso, especialistas em segurança de computadores e pesquisadores podem achar que tal técnica é benéfica no longo prazo, já que as ameaças agressivas de malware são essencialmente esterilizadas para se tornarem ineficazes.