Το χακάρισμα κακόβουλων botnets, όπως του Locky Ransomware, και, στη συνέχεια, η αντικατάσταση των payloads τους με ένα προειδοποιητικό περιεχόμενο για τον χρήστη έχει αρχίσει να γίνεται κανόνας, με άλλο ένα τέτοιο περιστατικό που αναφέρθηκε από την ομάδα της F-Secure.
Η εταιρεία αναφέρει ότι ένας από τους ερευνητές ασφάλειας της έπεσε επάνω σε ένα παράξενο δείγμα που προέρχεται από το δίκτυο του διακομιστή (botnet), από το οποίο το μεγαλύτερο μέρος του Locky ransοmware που μεταφέρει spam στέλνεται εκτός.
Το αρχείο ήταν ένα αρχείο ZIP που περιείχε ένα JavaScript αρχείο. Εάν ο χρήστης κάνει διπλό κλικ σε αυτό το αρχείο JavaScript, το script θα κατεβάσει με τις συνήθεις συνθήκες το Locky ransomware και θα το θέσει σε λειτουργία, αποτελεσματικώς, κρυπτογραφώντας τα αρχεία τους.
Αυτή τη φορά, ο ερευνητής της F-Secure, που ονομάζεται Päivi Τ, ανακάλυψε ότι, αντί του Locky, το αρχείο αυτό κατέβαζε κάτι διαφορετικό, που επίσης το έθετε σε λειτουργία.
Φαίνεται ότι κάποιος είχε χακάρει το Locky distribution network, αντικατέστησε το ransomware payload με ένα καλοήθη αρχείο που εμφάνιζε ένα απλό pop-up για τους χρήστες προειδοποιώντας τους να μην ανοίγουν συνημμένα email από μη αξιόπιστες πηγές.
Κάτι σαν αυτό συνέβη και τον περασμένο Φεβρουάριο, όταν κάποιος χάκαρε το Dridex botnet για να παραδώσει μια έκδοση του Avira antivirus installer αντί του Dridex banking trojan, και στη συνέχεια και πάλι τον περασμένο μήνα με το Locky network, όταν κάποιος αντικατέστησε το ransomware με ένα άδειο αρχείο που έγραφε «Ηλίθιο Locky.»
