Actualizado el informe sobre Locky con las diferencias y cambios producidos entre sus distintas versiones

  • El documento ID-09/16 Ransom.Locky está disponible en el portal del CCN-CERT
  • Desde su aparición en febrero de este año, este código dañino ha sido detectado por el Sistema de Alerta Temprana de Internet (SAT-INET) del CCN-CERT en 308 ocasiones.
  • El malware se instala principalmente a través de documentos de Word enviados por correo electrónico o visitando una página web comprometida desde un navegador no actualizado.

El CCN-CERT ha publicado en la parte pública de su portal una actualización del Informe de Código Dañino: CCN-CERT ID-09/16 Ransom.Locky, un malware cuya primera aparición conocida data del 16 de febrero de este año y que se ha ido modificando en cinco ocasiones. Precisamente, las dos últimas han motivado la actualización del documento que recoge las diferencias y los cambios producidos entre sus distintas versiones.

Entre las principales novedades de este código dañino se encuentra el vector de infección (en su cuarta versión emplea archivos JavaScript que descargan, descifran y ejecutan los binarios que contienen el malware), el hecho de que establece comunicación a un servidor C2 distinto y que, en su quinta versión, utiliza la extensión: “.zepto”.

Conviene reseñar que este ransomware es uno de los que más está afectando a la Administración Pública y empresas estratégicas españolas. Desde su aparición, ha sido detectado en 308 ocasiones a través del Sistema de Alerta Temprana del CCN-CERT.

El informe, ahora actualizado, recoge el análisis de este malware que se distribuye mayoritariamente mediante documentos Word con macros dañinas, que son las encargadas de descargar el código dañino de Internet y ejecutarlo. Otro medio de distribución es utilizar servidores comprometidos, en los cuales se aloja un “Exploit Kit”, que aprovecha alguna vulnerabilidad en los navegadores para descargar el código dañino y ejecutarlo en sus sistemas.

Como es habitual en este tipo de Informes, el CERT Gubernamental Nacional incluye las siguientes secciones:

  • Información de versiones de código dañino
  • Detalles generales
  • Procedimiento de infección
  • Características técnicas
  • Cifrado y ofuscación
  • Persistencia en el sistema
  • Conexiones de red
  • Archivos relacionados
  • Detección
  • Desinfección
  • Vacuna contra el código dañino
  • Información del atacante
  • Reglas de detección (Indicador de Compromiso y Yara)

Pueden acceder a los informes en la sección de Informes de Código Dañino del portal del CCN-CERT.

CCN-CERT (15-07-2016)

Acceso al Informe

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT