Comodo Labs descubre ataque masivo con una nueva variante del ransomware Locky, llamada IKARUSdilapidated

Comodo Threat Intelligence Lab acaba de descubrir una nueva campaña de ransomware a gran escala que comenzó el 9 de Agosto, con el envío masivo de emails que incluyen un malware que es una nueva variante del peligroso ransomware Locky, al que llaman IKARUSdilapidated.

Durante los primeros días de este coordinado ataque, según Comodo Lab decenas de miles de usuarios fueron atacados a través de un simple email que en algunos casos tiene poco contenido en el cuerpo del mensaje y en otros absolutamente nada, pero si todos incluyen un fichero adjunto.

Ese ficher tiene como nombre «E 2017-08-09 (580).vbs», el número 580 en el nombre va cambiando por cada email y la extensión vbs es una extensión que también varía y puede tener una extensión tipo documento (.doc), hoja de calculo (.xls y .xlsx) fichero comprimido (.zip), pdf o una extensión de fichero de imágenes del tipo jpg o tiff como por ejemplo «E 2017-08-09 (580).tiff».

Comodo Labs nos explica que una vez ejecutado el adjunto, automáticamente se descarga IKARUSdilapidated, el nuevo miembro de una de las familias más peligrosas de ransomware: Locky, el cual fue descubierto en el 2016.

Como una nueva variante de malware, IKARUSdilapidated es identificado como «archivo desconocido» («unknown file») y todas aquellas organizaciones que no utilicen «default deny», que niega la entrada a todo fichero desconocido hasta que es verificado para se aceptado en la infraestructura TI, están desprotegidas.

Los ciberdelincuentes están utilizando IPs de distintas partes del planeta para enviar los emails.  Hasta ahora entre los países con más IPs utilizadas para el ataque, descubiertas por Comodo Labs, tenemos a Vietnam, Indonesia, India y varios países latinoamericanos, con México, Colombia, Bolivia, Argentina y Brasil con las cantidades de IPs más altas.  España también aparece en la lista.