Campaña de ransomware suplantando a la Agencia Tributaria

Fecha de publicación: 
05/04/2017
Importancia: 
5 - Crítica
Recursos afectados: 

Potencialmente cualquier empleado que reciba el correo malicioso, y en particular quienes realicen declaraciones de Renta o gestionen los impuestos de las empresas.

Descripción: 

Se ha detectado una nueva campaña masiva de difusión de malware de tipo ransomware, a través de correo electrónico, simulando ser una comunicación de la Agencia Tributaria de España.

Estos correos, vienen con un documento en MS Word adjunto con el nombre “Factura.doc” que contiene el malware de tipo ransomware que cifrará el contenido del disco duro del dispositivo infectado si es ejecutado.

Solución: 

¿Qué hacer si estoy afectado?

Se recomienda NO PAGAR el rescate, pues, además de no tener garantía de recuperación, esto fomenta la actividad fraudulenta.

Dependiendo de la importancia de los datos perdidos y si va a interponer denuncia es recomendable realizar un clonado previo de los discos (copia de la información del disco duro en otro soporte). También es probable que en el futuro exista alguna herramienta capaz de descifrar los archivos.

Si dispone de una copia de seguridad aísle los equipos infectados y elimine cuanto antes el malware utilizando un antimalware legítimo actualizado con el apoyo de su soporte tecnológico. A continuación podrá recuperar los datos de la copia de seguridad.

Recuerda que desde el Instituto Nacional de Ciberseguridad de España (INCIBE) ofrecemos un servicio gratuito de análisis y descifrado de ficheros afectados por ciertos tipos de ransomware. Si necesita soporte o asistencia, sigue los pasos que indicamos desde nuestro Servicio AntiRansomware.

¿Cómo evitar el ransomware?

Para evitar el ransomware, desconfíe de todos los mensajes recibidos por correo electrónico, SMS, WhatsApp o similar en el que se le coaccione o apremie a hacer una acción ante una posible sanción.

Como pautas generales, para evitar ser víctima de fraudes de tipo ransomware:

  • Desactivar las macros en Microsoft Office.
  • No abra correos de usuarios desconocidos o que lo haya solicitado: elimínelos directamente.
  • No conteste en ningún caso a estos correos.
  • Revise los enlaces antes hacer clic aunque sean de contactos conocidos. Desconfíe de los enlaces acortados.
  • Desconfíe de los ficheros adjuntos aunque sean de contactos conocidos.
  • Tenga siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus compruebe que está activo.
  • Asegúrese de que las cuentas de usuario de sus empleados utilizan contraseñas robustas y sin permisos de Administrador

Además, es importante realizar periódicamente copias de seguridad. Tenemos que guardarlas en un lugar diferente y verificar que se realizan correctamente. Por ejemplo, restaurando una copia de seguridad y verificando los datos restaurados. De esta forma, en el caso de vernos afectados, podremos recuperar la actividad de nuestra empresa de forma ágil.

También es importante realizar acciones de formación y concienciación en ciberseguridad entre los empleados para evitar que sean víctimas de ataques de ingeniería social.

Detalle: 

Un trabajador recibe en su correo con un mensaje que parece ser una comunicación oficial de la Agencia Tributaria española con el asunto “Errores en su Declaración de Renta” y con un texto que advierte al destinatario sobre la detección de unas supuestas irregularidades en su declaración de la Renta. Estos correos, vienen con un documento en MS Word adjunto con el nombre “Factura.doc” que contiene el malware de tipo ransomware que cifrará el contenido del disco duro del dispositivo si es ejecutado.

El mensaje tiene el siguiente aspecto:

Correo suplantando Agencia Tributaria

Utilizando el asunto «Errores en su Declaración de Renta» y el adjunto con el nombre “Factura.doc” como reclamo, el empleado abre el documento de Word creyendo que es una factura. Al abrirlo, se pueden dar estas dos situaciones:

  • Si el usuario tiene habilitadas las macros, el malware se activa e infecta el equipo del usuario.
  • Si el usuario tiene deshabilitadas las macros, el documento solicita habilitar las macros para que el usuario pueda visualizarlo (e infectarlo).

La habilitación de los macros de Word produce que el dispositivo se infecte por el malware, mostrándole al usuario un mensaje de advertencia avisándole que su ordenador ha sido secuestrado y que debe pagar un rescate para poder recuperar su información:

Esta forma de fraude se denomina ingeniería social. El reclamo, es algo que resulta familiar al receptor y le convence de que es un mensaje legítimo. Así se consigue que el empleado abra el fichero para infectar su equipo con malware.

¿Te gustaría recibir estos avisos en tu lector de RSS? Anímate y suscríbete al boletín de avisos, al servicio de RSS, o sigue nuestros perfiles de redes sociales en twitter @incibe y facebook: "protegetuempresa". Serás el primero en enterarte de los últimos avisos de seguridad para empresas.