Nacionalni CERT

Ransomware Locky gubi na zastupljenosti

U proteklih je 6 mjeseci broj zaraza ransomwareom Locky u padu te se očekuje kako će krajem ovog mjeseca dostići najmanji broj zaraza mjesečno u povijesti svojeg djelovanja. Otkad je prvi put zabilježen, u veljači 2016. godine, Locky je bio jedna od najaktivnijih i najprisutnijih vrsti ransomwarea na internetu.

Od početka djelovanja moglo se jasno zaključiti kako je za rast ransomwarea Locky zaslužna botnet mreža Necurs koja se koristila za slanje spam pošte. Prije no što se Locky pojavio, Necurs je isključivo korišten za širenje bankarskog trojanca imena Dridex. Ubrzo nakon pojave ransomwarea Locky, Necurs počinje zamjenjivati Dridex novim zlonamjernim sadržajem. U kojoj je mjeri mreža Necurs zaslužna za širenje ransomwarea Locky govori podatak kako je Locky prvi ransomware kojeg je sigurnosna tvrtka Check Point navela kao 3 najveće malver prijetnje u rujnu 2016. godine.

Početkom 2017. godine mreža Necurs počinje u sve manjoj mjeri širiti ransomware Locky, a sve češće ostale vrste ransomwarea kao što su Cerber, Spora i Shade. Značajno je kako je Locky u 2016. godini nadograđivan na mjesečnoj bazi te je kroz svoj razvoj prolazio kroz ekstenzije Zepto, Odin, Shit, Thor, Aesir, ZZZZZ i Osiris. No, u 2017. godini nije zabilježena ni jedna nova inačica.

Na temelju ovih podataka može se zaključiti kako postoji veza između ransomwarea Locky i botnet mreže Necurs. Upravo je najveći dio spam pošte kojom se širio Locky poslan s Necurs mreže što daje naslutiti kako se iza ransomwarea Locky i botnet mreže Necurs nalazi ista grupa. Kako u 2017. godini nije zabilježena nova inačica ovog ransomwarea te je broj zabilježen incidenata u značajnom padu, možemo očekivati kako će se trend opadanja nastaviti te će se Locky prestati koristiti, a u najboljem se slučaju možemo nadati kako će osobe zaslužne za razvijanje ovog ransomwarea dati na javnom korištenje dati ključeve za dešifriranje podataka kao što je napravila grupa TeslaCrypt.

20.03.2017