Los propietarios del ransomware Locky han decidido mejorar la seguridad añadiendo un cifrado extremo a extremo para evitar que las comunicaciones sean analizadas, ofreciendo de esta forma un mayor control sobre el envío de la información y sobre todo del acceso a éste.
Desde finales de enero es una de las
amenazas que ha copado más portadas, sobre todo por afectar al sector público,
dejando muy tocados los archivos de hospitales, compañías y energía. Su
distribución se sustenta sobre todo en el correo electrónico spam, aunque sí
que es verdad que en las últimas semanas se ha encontrado alguna copia en
páginas web referenciadas haciendo uso de redes sociales, aprovechando sobre
todo que estas últimas poseen una gran difusión entre los usuarios.
Con la última novedad del ransomware Locky, sus propietarios se cubren las espaldas en lo referido a materia de seguridad y eliminando el punto débil existente hasta el momento: las comunicaciones entre los extremos. Ahora será necesaria una clave privada RSA para conseguir acceso al interior de la red, además de la clave pública que ya se distribuía.
Hay que recordar que hasta este
momento la amenaza siempre distribuía una clave pública única a cada usuario
infectado, formando parte del proceso de cifrado de los archivos. A partir de
ahora será necesaria la clave privado para extraer el contenido de las
peticiones y respuestas realizadas entre el equipo del usuario y el servidor de
control.
En definitiva algo que es muy complicado y podría decirse que prácticamente imposible. Esto se hace con la única finalidad de dificultar las tareas de los expertos en seguridad a la hora de extraer información sobre la amenaza y permitir el desarrollo de un software que permita el descifrado de la información afectada.
Los propietarios de Locky
quieren mantener el control del ransomware
- Para evitar que las autoridades y expertos en seguridad sean un problema para el negocio, los propietarios han introducido esta modificación que permite conocer la dirección IP del equipo infectado pero no la que se envía y recibe, dificultando la investigación. Los propietarios también buscan proteger el servidor de acceso no autorizados y evitar que este sea utilizado para distribuir otras amenazas y que otros recauden dinero a costa de su infraestructura.