Consequências da violação OPM: Locky explora informação roubada das vitimas
O vírus Locky foi considerado uma das infeções cibernéticas mais ativas na primeira metade deste ano. Não obstante, com as suas abordagens de distribuição expandida, não é esperado que o vírus desista da sua posição cimeira tão cedo. Aliás, é atualmente estimado que 97% de todos os anexos de e-mail maliciosos transportem o vírus Locky ou uma versão modificada deste. Entre estas versões estão o Thor, Shit virus, Perl ransomware e, possivelmente, algumas outras reconstruções maliciosas do Locky com as quais os especialistas ainda não se cruzaram.
Relativamente à distribuição do Locky e métodos de infiltração, estaríamos errados se disséssemos que nada de novo há a aprender todos os dias. Por exemplo, no início de Novembro, os analistas de vírus revelaram que outra grande campanha de malvertising ShadowGate propaga agora duas versões do Locky através do conjunto de exploração Bizarro Sundown. É uma nova e perigosa adição aos conjuntos Angler e Rig que os criadores do Locky usaram inicialmente para a distribuição do vírus. Mas talvez a descoberta mais essencial que pode beneficiar os utilizadores regulares tenha sido feita pela equipa PhishMe.
Os investigadores da PhishMe descobriram uma nova tática utilizada pelos hackers para levar os utilizadores a descarregar anexos de e-mail que carregam a carga útil Locky. Os peritos chamam-lhe a Fraude Bancária OPM ou simplesmente esquema OPM. OPM significa Escritório de Gestão de Pessoal dos Estados Unidos, uma instituição sob a qual os hackers distribuem uma notificação fraudulenta às suas vítimas avisando sobre uma suposta ofensa financeira. Os utilizadores recebem a seguinte mensagem:
Caro [NOME],
A Carole do banco notificou-nos sobre os movimentos suspeitos na nossa conta. Examine o registo digitalizado anexo. Se precisar de mais informação, sinta-se à vontade para contatar-me.
Este e-mail é acompanhado por um ficheiro ZIP anexo que esconde o ficheiro JavaScript infecioso. Basta os utilizadores abrirem o ficheiro para iniciar a descarga do Locky. É interessante o facto de o vírus visar especificamente vítimas da famosa violação da OPM que ocorreu em 2014 e 2015. Por outras palavras, os criadores do Locky almejam explorar os medos das antigas vítimas do crime cibernético de forma a infetar os seus computadores. Para esconder os seus registos, os hackers utilizaram já 323 nomes de anexo únicos, enquanto a carga útil do vírus foi descarregada de 78 URLs distintos. Tais práticas ofuscam a deteção e prevenção do vírus e, geralmente, levam a distribuição de ransomware a um nível completamente diferente. Assim, titulares de empresas são vivamente aconselhados a informar o seu pessoal sobre precauções de segurança online e escolher uma solução confiável de cópia de segurança de informação.