Một số vụ tấn công nổi tiếng nhất liên quan đến Locky chủ yếu là cuộc tấn công vào các dịch vụ cốt lõi, bao gồm cả các bệnh viện ở Mỹ.
Vào hồi tháng 2/2016, Locky đã làm gián đoạn Trung tâm chăm sóc sức khỏe Presbyterian ở Hollywood (Mỹ), trung tâm đã phải tuyên bố "tình trạng khẩn cấp" vì các hệ thống, cơ sở dữ liệu và thông tin quan trọng của trung tâm và các nhân viên đều bị mã hóa và bị khóa.
Cảnh báo loại biến thể ransomware Locky mới nguy hiểm và tinh vi hơn nhiều
Các bệnh viện dựa trên hồ sơ điện tử để chăm sóc bệnh nhân và sắp xếp mọi thứ từ các cuộc hẹn đến các hoạt động chăm sóc cũng phải đối mặt với sự gián đoạn thảm khốc trong quá trình sao lưu dữ liệu, và buộc phải thanh toán 17.000 USD trong Bitcoin để mở khóa dữ liệu.
Locky cũng liên quan đến một chiến dịch ransomware xảy ra vào hồi tháng 8 năm nay, trong đó có tới 23 triệu email lừa đảo được gửi chỉ trong vòng 24 giờ.
Theo một nghiên cứu mới của Cylance đã phát hiện một biến thể Locky tương đối mới có tên gọi là Diablo6, được tinh chỉnh để các ứng dụng diệt virus truyền thống cũng như người dùng cuối không thể phát hiện và loại bỏ.
Trong một bài đăng trên blog, nhóm nghiên cứu cho biết Diablo6 sẽ thực hiện một cuộc tấn công trong 2 giai đoạn. Giai đoạn đầu tiên là một vector tấn công điển hình cho ransomware - email lừa đảo trực tuyến chứa kho lưu trữ .zip biến thể Locky mới.
Các email này sẽ giả mạo là email hợp lệ và thực chất các file đính kèm là các file chứa file VBS, khi được mở và giải nén, nó sẽ cố gắng kết nối với máy chủ Command- and-Control (C&C) của Locky để được hướng dẫn.
Biến thể ransomware Locky mới nguy hiểm và tinh vi hơn
Nếu kết nối thành công, script VBS sẽ tải về ransomware. Tuy nhiên nếu giai đoạn này bị thất bại, máy chủ sao lưu C&C sẽ cố gắng tải payload lên.
Từ "enterprise" (doanh nghiệp) được sử dụng trong quá trình kết nối để người dùng nghĩ rằng nó là một loại tiện ích kinh doanh hợp pháp. Đồng thời, script VBS sử dụng một chuỗi để phân chia và tải các lệnh thực. Sau đó tải payload và lưu trữ trong thư mục tạm thời trước khi thực thi và mã hóa các file.
Cảnh báo loại biến thể ransomware Locky mới nguy hiểm và tinh vi hơn nhiều
Ransomware Locky Diablo6 nhắm mục tiêu tất cả các loại file để mã hóa, bao gồm cả hình ảnh, video, các bản sao lưu và file nén zip. Sau khi quá trình mã hóa kết thúc, trên màn hình nạn nhân sẽ hiển thị thông báo thanh toán một khoản tiền chuộc và script mã hóa sẽ tự xóa.
Các tên miền (domain) kết nối với địa chỉ email mail.com đã được kết nối với Locky, và tổng cộng có 333 tên miền được đăng ký vào năm 2016 và gần đây là vào tháng 10 năm nay.
Các nhà nghiên cứu đang sử dụng các tên miền được đăng ký để theo dõi ransomware Locky, nó có thể liên quan đến cả các loại ransomware khác.
"Trong một số trường hợp, kẻ tấn công có thể thực hiện những thay đổi nhỏ trong mã của họ để lưu trữ mã độc hại của họ cho người dùng cuối vì đó cũng là lúc mà kẻ tấn công phát tán mã độc", Cylance nói.
"Rất có thể đây là vụ tấn công của ransomware Locky. Không cần làm gì nhiều, kẻ tấn công đứng sau Locky chỉ cần tinh chỉnh một phần duy nhất của quá trình mà người dùng cuối không bao giờ có thể sửa được".
Nói cách khác khi phần mềm độc hại đủ mạnh để tạo các thu nhập giả mạo, các vector tấn công mới, chẳng hạn như một loạt các chiến dịch email đã được tạo ra, là tất cả những gì cần thiết để giữ các hoạt động trái phép tồn tại.
Tháng này, nhà nghiên cứu Matthew Mesa của ProofPoint cũng phát hiện ra một loại ransomware mới, được mệnh danh là GIBON, một chủng mới sử dụng macro được nhúng trong các tài liệu độc hại để lây lan thông qua các chiến dịch lừa đảo để khóa máy tính người dùng lại. Tuy nhiên, vì đây là ransomware mới những được cho là biến thể của một trong những Top ransomware nguy hiểm nhất mọi thời đại Locky, nên chúng ta chưa thể biết được mục tiêu của nó, mục tiêu nhân khẩu học, hoặc nguồn gốc của ransomware này.
Để phòng các trường hợp xấu nhất xảy ra, các bạn nên tải và sử dụng một phần mềm diệt virus cho máy tính của mình, hiện có rất nhiều phần mềm diệt virus như KIS, BKAV để bạn lựa chọn.