En este sentido, Locky ha sido otra de las amenazas dentro del mundo del ransomware que más víctimas se ha cobrado y ahora vuelve al ataque con una nueva estrategia. Los responsables detrás de Locky han dejado de utilizar un fichero Javascript dentro de un archivo .ZIP que enviaban a sus víctimas a través del correo electrónico y que era el encargado de infectar el equipo, para comenzar a usar ficheros .DOCM de Office.
Una nueva técnica que activa de nuevo a Locky, ya que se han detectado nuevas campañas masivas de correo electrónico que distribuye el famoso ransomware a partir de este mismo mes de agosto y que ya está comenzando a afectar a numerosos usuarios e industrias, entre la que destaca nuevamente la de la salud, después de que un gran número de hospitales fueran víctima de ransomware a principios de este mismo año.
La nueva forma de distribuirse Locky es por lo tanto a través del correo electrónico, pero en este caso llevará un fichero .docm adjunto que sin que el usuario lo sepa, lleva una secuencia de comandos incluidos en una macro que hacen que se descargue e instale Locky en el momento que el usuario permite el uso de macros para abrir el documento adjunto.
Sin duda, se trata de una técnica que recuerda al famoso troyano bancario Dridex, que usaba documentos de Office y secuencias de comandas de macro para infectar los ordenadores. Algo parecido a lo que está haciendo ahora el ransomware Locky a través de importante oleadas de mensajes de correo electrónico distribuidos por todo el mundo durante todo este mes de agosto.
Aunque los países más afectados por Locky son Estados Unidos, Japón y República de Corea, podemos ver como España se sitúa más o menos en la mitad de la tabla del ranking de países atacados por Locky. Por otro lado, los datos ofrecidos por FireEye aseguran que las mayores oleadas se han producido durante los días 9, 11 y 15 de agosto, por lo que no sería de extrañar que se produzcan nuevas oleadas en los próximos días.
