OPM rünnaku tagajärg: Locky kuritarvitab ohvritelt varastatud andmeid

Locky viirus on tituleeritud üheks selle aasta esimese poole kõige aktiivsemaks küberohuks. Isegi, kui levima on hakkanud palju teisi ohtlikke nakkuseid, ei näi, et see viirus annab oma liidrikoha käest ära nii pea. Hinnanguliselt kannab hetkel umbes 97% kõikidest pahavaralistest e-kirja manustest just Locky viirust või mõnda selle versiooni. Nende versioonide hulgas on näiteks Thor, Shit viirus, Perl lunavaraviirus ja ilmselt veel teisigi versioone, millest ei olda veel teadlikud.

Rääkides Locky levimisviisidest valetaksime me, kui me väidaks, et iga päev ei avastata selle viiruse kohta midagi uut. Näiteks avastati Novembri alguses, et veel üks pahavaraline reklaamkampaania ShadowGate levitab kahte Locky versiooni Bizarro Sundown ründekomplekti abil. Tegemist on uue ja ohtliku lisaga Angler ja Rig komplektidele, mida olid Locky arendajad seni kasutanud viiruse levitamiseks. Üks olulisemaid hiljutisi avastusi, mis võib paljudele kasutajatele abiks olla, tehti PhishMe tiimi poolt.

PhishMe uurijad avastasid uue taktika, mida häkkerid kasutavad selleks, et kasutajaid petta ja panna neid laadima alla Locky viirust sisaldava e-kirja manuse. Eksperdid kutsuvad seda OPM pangapettuseks või lihtsalt OPM pettuseks. OPM tähendab inglise keeles Ameerika personalihalduse osakonda – just sellise organisatsiooni nime all esitlevad end häkkerid, kes saadavad potentsiaalsetele ohvritele petturliku sõnumi. Kasutajad saavad järgneva sõnumi:

Dear [NAME],
Carole from the bank notified us about the suspicious movements on out account. Examine the attached scanned record. If you need more information, feel free to contact me.

Selle e-kirja juurde on lisatud ZIP failina manus, mis peidab nakatunud JavaScript faili. Kasutaja peab üksnes faili avama ja Locky viirus laaditakse koheselt arvutisse. Viirus võtab sihikule üksnes kasutajad, kes olid kurikuulsa OPM rünnaku ohvrid 2014. ja 2015. aastatel. Teisisõnu, Locky loojad kasutavad ära endiste küberrünnakute ohvrite hirmu selleks, et nende arvuteid nakatada. Oma jälgede katmiseks on häkkerid kasutanud enam kui 323 unikaalset manusenime ning 78 erinevat URL’i. Seetõttu on viiruse tuvastamine ja ennetamine sedavõrd keerulisem ning see viib lunavaraviiruse levitamise hoopis uuele tasandile. Ettevõtete omanikke manitsetakse, et nad teavitaksid oma töötajaid ning kõik rakendaksid vastavaid turvameetmeid. Lisaks tuleks leida usaldusväärne lahendus selleks, et teha andmetest koopiaid.

Autori kohta
Linas Kiguolis
Linas Kiguolis

Pahavara, viiruste ja nuhkvaraga võitlemise ekspert...

Võta ühendust autoriga Linas Kiguolis
Ettevõtte Esolutions kohta lähemalt

Loe teistes keeltes