Ataque a organizaciones y empresas debido a una masiva infección mediante ‘CryptoLocker’. (Alerta de Seguridad)

CryptoLocker es un malware tipo troyano dirigido a computadoras con el sistema operativo Windows que se popularizó a finales de 2013. El CryptoLocker se distribuye de varias formas, una de ellas como archivo adjunto de un correo electrónico. Una vez activado, el malware cifra ciertos tipos de archivos almacenados en discos locales y en unidades de red usando criptografía de clave pública RSA, guardándose la clave privada en los servidores del malware. Realizado el cifrado, muestra un mensaje en pantalla, en el cual ofrece descifrar los archivos afectados, si se realiza un pago antes de una fecha límite (a través de Bitcoins o con vales pre-pagos), y menciona que la clave privada será destruida del servidor, y que será imposible recuperarla si la fecha límite expira. Si esto ocurre, el malware ofrece la posibilidad de descifrar los datos a través de un servicio en línea provisto por los operadores del malware, con un precio en Bitcoin mucho más alto. A pesar que el malware es fácilmente eliminado, los archivos permanecen cifrados, cuya clave privada se considera casi imposible de descifrar.

La fisonomía del ataque se aleja de los típicos correos mal escritos y que son detectables a simple vista. Por contra, la campaña está empleando e-mails que simulan provenir de Correos y hablan sobre un paquete que no ha podido ser entregado.

El dominio que están empleando (al menos en algunos de esos e-mails) es correos24.net

Como se puede ver en el whois:

Domain Name: CORREOS24.NET
Registrar: REGISTRAR OF DOMAIN NAMES REG.RU LLC
Whois Server: whois.reg.ru
Referral URL: http://www.reg.ru
Name Server: NS1.REG.RU
Name Server: NS2.REG.RU
Status: clientTransferProhibited
Updated Date: 03-dec-2014
Creation Date: 03-dec-2014
Expiration Date: 03-dec-2015

Es un domino que se ha creado hoy 3 de Diciembre.

Otro de los puntos que convierte esta amenaza en algo muy serio es el hecho de que, tras los correos hay una campaña OSINT previa para dirigir el ataque de forma selectiva a personas a quienes les llegan los correos a su nombre y apellidos.

Esto ayuda a dar credibilidad a dichos e-mails y en muchos casos la gente está descargando el Ransomware.

Los correos lucen tal que así

correos

 

Como te proteges de este tipo de ataques.?

https://www.lazarus.com.ve/?p=888

Leave a Comment