Anul trecut, pe scena amenințărilor informatice derivate din categoria spam-urilor am asisat la dominația campaniilor Locky, prin intermediul cărora au fost trimise milioane de e-mail-uri malițioase.
Locky a reprezentat o forță devastatoare în 2016 în peisajul spam și ransomware. Numai varianta ransomware a Locky a fost responsabilă de trimiterea zilnică a unui număr uriaș de mesaje spam, principalul motor din spatele acestui trafic fiind rețeaua de tip botnet Necurs. Nimic surprinzător, dacă ne gândim că Necurs este direct răspunzătoare pentru cea mai mare parte a activității Locky și Dridex. Periodic, Necurs se dezactivează, iar în timpul acestor intervale activitatea Locky se reduce semnificativ. În prezent, traversăm o astfel de perioadă.
De la sfârșitul lunii decembrie a anului trecut, n-a mai fost observat volumul tipic alimentat de Locky. Cu toate acestea, recent, am fost martorii unor campanii de spam în care Locky e actorul principal. Diferența esențială, însă, constă în volum. În mod normal, am vedea sute de mii de mesaje spam Locky. În prezent, campaniile numără mai puțin de o mie de mesaje spam.
Specialiștii în securitate de la centrul Talos au descoperit o serie de campanii cu volum redus, care distribuie Locky prin intermediul metodei obișnuite a fișierelor programate, însă cu câteva particularități.
În prima campanie observată, mesajele nu aveau subiect, nici conținut, doar un atașament cu un fișier zip. În momentul în care atașamentul este extras, descoperim un al doilea fișier zip, care utilizează extensii duble, în speranța că un utilizator ar putea crede că este un fișier .doc. Acest fișier zip conține, la rândul lui, un alt fișier cu o extensie dublă, care include conținutul javascript malițios.
A doua campanie analizată de Talos este mai temeinic executată. Conținutul face referire la o tranzacție bancară eșuată, un fapt comun în campaniile de spam. Această campanie utilizează însă fișiere rar, în loc de arhive zip.
Acestea sunt campaniile pe care Talos le-a observat de dinainte de Crăciun și ar putea reprezenta indicii pentru atacurile care vor urma. Apare astfel întrebarea când va deveni Necurs pe deplin operațional și va începe distribuirea de cantități incredibile de spam care conțin Locky, Dridex, dar și alte tipuri de mesaje. De exemplu, când Necurs este activ, vedem în mod normal aproximativ 350.000-400.000 de IP-uri în lista neagră referitor la activitatea de spamming. Aceste cifre au fost reduse acum până la 50.000, însă dacă Necurs nu își reia operațiunile, altceva va trebui să umple golul. La fel ca în cazul kit-urilor de exploatare, când unele dintre ele au părăsit peisajul amenințărilor informatice în 2016, același lucru s-ar putea petrece și cu spam-ul.
Atacurile de tip crimeware sunt profitabile din punct de vedere al veniturilor obținute, apropiindu-se de un miliard de dolari anual. Însă această activitate este foarte riscantă și am putea traversa o perioadă în care infractorii cibernetici se retrag din activitate foarte devreme, pentru a evita sancțiunile severe asociate acestei activități ilegale.
Deși le-am lăsat la urmă, avem și vești bune. Iată câteva soluții Cisco, cu ajutorul cărora clienții pot detecta și bloca aceste tipuri de amenințări:
Advanced Malware Protection (AMP) este concepută pentru a preveni executarea malware-ului utilizat de infractorii cibernetici.
Soluțiile de scanare web CWS sau WSA împiedică accesul la website-uri infectate și detectează malware-ul folosit în aceste atacuri.
Email Security poate bloca e-mail-urile malițioase trimise de infractorii cibernetici ca parte a campaniilor.
Protecția de care beneficiază IPS și NGFW în ceea ce privește securitatea rețelei include semnături actualizate pentru a detecta activitatea de rețea malițioasă.
AMP Threat Grid ajută la identificarea codurilor binare malițioase și oferă protecție tuturor produselor Cisco Security.
Umbrella previne disocierea DNS a domeniilor asociate cu activitatea malițioasă.