Oleada de correos fraudulentos que amenazan con "hackear" tu empresa

Fecha de publicación: 
14/06/2017
Importancia: 
4 - Alta
Recursos afectados: 

Potencialmente cualquier empleado que reciba el correo malicioso, ya que el mensaje insta a hacer llegar el correo a personal de la empresa con capacidad de toma de decisiones.

Descripción: 

Se ha detectado una campaña de envío de correos fraudulentos. El mensaje del correo alerta de que tu empresa ha sido comprometida. Entre las distintas amenazas, los ciberdelincuentes indican que lanzarán un ataque de denegación de servicio distribuido contra la empresa, cifrar toda la información a través de un malware del tipo Ransomware, secuestrar la página web y destruir su reputación online. Para evitar el ataque se pide el ingreso de 1 Bitcoin a un monedero proporcionado en el mensaje. Si no se paga esa cantidad antes del 16 de junio (fecha en la que se haría efectivo el ataque) el pago exigido para pararlo ascendería a 5 Bitcoins o una mayor cantidad.

Solución: 

¿Qué hacer si he recibido este correo electrónico?

Se recomienda NO PAGAR, pues consideramos que se trata de un bulo aprovechando el miedo que ha generado el indidente del pasado 12 de mayo (WannaCry). Además, en caso de hacerlo no se garantiza que la extorsión finalice, y en el supuesto de que contaran con los medios para que los ciberdelincuentes perpetraran el ataque, tampoco habría garantías de que el pago lo evitara.

En cualquier caso es importante considerar contar con la medidas adecuadas para mitigar este tipo de ataques:

  • Política de copias de seguridad
  • Política de cambio de contraseñas
  • Existencia de un lan de Continuidad, etc.

Puedes encontrar una aproximación a estas políticas en la sección "Qué te interesa" de Protege tu empresa.

Detalle: 

El usuario recibe un correo electrónico con el siguiente mensaje:

PLEASE FORWARD THIS EMAIL TO SOMEONE IN YOUR COMPANY WHO IS ALLOWED TO MAKE
IMPORTANT DECISIONS!

We, HACKER TEAM - Meridian Collective
1 - We checked your security system. The system works is very bad
2 - On Friday 16_06_2017_8:00p.m. GMT !!! We begin to attack your network
servers and computers
3 - We will produce a powerful DDoS attack - up to 200 Gbps
4 - Your servers will be hacking the database is damaged
5 - All data will be encrypted on computers Crypto-Ransomware
4 - You can stop the attack beginning, if payment 1 bitcoin to bitcoin
ADDRESS: ***************************************sfdgsdfgiSJFD
5 - Do you have time to pay. If you do not pay before the attack 1 bitcoin
the price will increase to 5 bitcoins
6 - After payment we will advice how to fix bugs in your system

Please send the bitcoin to the following Bitcoin address:

*************69yhhW*********************************

How do I get Bitcoins?

You can easily buy bitcoins via several websites or even offline from a
Bitcoin-ATM.
We suggest you to start with localbitcoins.com [lookup Domain][SIEM] or do a google search.

What if I don’t pay?
If you decide not to pay, we will start the attack at the indicated date and
uphold it until you do, there’s no counter measure to this, you will only
end up wasting more money trying to find a solution. We will completely
destroy your reputation amongst google and your customers and make sure your
website will remain offline until you pay.
This is not a hoax, do not reply to this email, don’t try to reason or
negotiate, we will not read any replies. Once you have paid we won’t start
the attack and you will never hear from us again!
Please note that Bitcoin is anonymous and no one will find out that you have
complied.

Desde INCIBE hemos detectado diferentes versiones del mensaje y diferentes monederos BitCoin aunque consideramos que se puede tratar de la misma campaña.