La empresa de seguridad F-Secure ha detectado una nueva oleada de ramsomware que, en esta ocasión, tiene a España y a Italia como principales (y únicos) objetivos. Este malware se encuentra alojado en una nube privada (aún por identificar) y se trata de una variante mezcla de los conocidos Cryptowall y Cryptolocker.
El ransomware debe ejecutarse manualmente (ya que no hace uso
de exploits para infectar al usuario automáticamente) y, una vez infectado,
cifra los archivos, envía las claves de cifrado al servidor de los piratas
informáticos y pide un pago económico, en Bitcoin, para poder recuperar los
archivos.
Una vez más correos es el gancho de este ransomware
- Cuando abrimos el enlace malicioso desde España la URL da varios saltos para finalmente mostrar una página web falsa de Correos desde donde hay que descargar un documento para poder recoger un paquete que se encuentra retenido en la oficina.
- Al acceder a esta web se pide al usuario introducir un captcha (para dar credibilidad al ataque) para finalmente descargar un archivo .zip con el malware en su interior.
- El “modus operandi” de los usuarios que accedan al enlace malicioso desde Italia probablemente será muy similar, pero tomando como gancho el servicio de mensajería de dicho país.
- Los piratas informáticos tras esta campaña de distribución de ransomware han centrado su ataque en Italia y España, ya que cualquier usuario de otro país que intenta acceder al enlace malicioso automáticamente es redirigido a un dominio legítimo de Google, donde queda fuera del ataque.
- Por el momento se desconocen las razones del ataque y el grupo de piratas informáticos tras él, por lo que se recomienda hacer copias de seguridad, reforzar la seguridad y prestar atención para evitar ser víctimas de este nuevo ataque.
