Otra oleada de ransomware suplantando a Correos

Fecha de publicación: 
31/08/2016
Importancia: 
5 - Crítica
Recursos afectados: 

Potencialmente cualquier empleado que reciba correo electrónico, y en particular quienes gestionen envíos de paquetes y cartas postales.

Descripción: 

Se ha detectado una campaña de ransomware a través de emails que suplantan la identidad de Correos. Estos emails pretenden engañar a los usuarios para que hagan clic en un enlace que les redirige a una web maliciosa con el logo de Correos, dónde se descarga e instala un virus que cifrará los archivos del ordenador.

Solución: 

¿Qué hacer si estoy afectado?

Se recomienda NO PAGAR el rescate, pues, además de no tener garantía de recuperación, esto fomenta la actividad fraudulenta.

Dependiendo de la importancia de los datos perdidos y si va a interponer denuncia es recomendable realizar un clonado previo de los discos (copia de la información del disco duro en otro soporte). También es probable que en el futuro exista alguna herramienta capaz de descifrar los archivos.

Si dispone de una copia de seguridad aísle los equipos infectados y elimine cuanto antes el malware utilizando un antimalware legítimo actualizado con el apoyo de su soporte tecnológico. A continuación podrá recuperar los datos de la copia de seguridad.

Si necesita soporte o asistencia, INCIBE ofrece servicios de Respuesta y Soporte ante incidentes de seguridad.

¿Cómo evitar el ransomware?

Para evitar el ransomware, desconfíe de todos los mensajes recibidos por correo electrónico, SMS, Whatsapp o similar en el que se le coaccione o apremie a hacer una acción ante una posible sanción.

Como pautas generales, para evitar ser víctima de fraudes de tipo ransomware:

  • No abra correos de usuarios desconocidos o que lo haya solicitado: elimínelos directamente.
  • No conteste en ningún caso a estos correos.
  • Revise los enlaces antes hacer clic aunque sean de contactos conocidos. Desconfíe de los enlaces acortados.
  • Desconfíe de los ficheros adjuntos aunque sean de contactos conocidos.
  • Tenga siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus compruebe que está activo.
  • Asegúrese de que las cuentas de usuario de sus empleados utilizan contraseñas robustas y sin permisos de Administrador

Además, es importante realizar periódicamente copias de seguridad. Tenemos que guardarlas en un lugar diferente y verificar que se realizan correctamente. Por ejemplo, restaurando una copia de seguridad y verificando los datos restaurados. De esta forma, en el caso de vernos afectados, podremos recuperar la actividad de nuestra empresa de forma ágil.

También es importante realizar acciones de formación y concienciación en ciberseguridad entre los empleados para evitar que sean víctimas de ataques de ingeniería social.

Detalle: 

Un trabajador recibe en su correo electrónico, un mensaje que parece ser una comunicación oficial de Correos, con un texto que informa al usuario que tiene un envío certificado con indemnización por retraso. Se le pide hacer click en un enlace «Descargar información sobre su envío» incluido en el propio texto del correo electrónico. El asunto llama su atención y abre el mensaje. La falta de precisión del lenguaje del mensaje puede hacernos sospechar.

El mensaje tiene el siguiente aspecto:

mensaje suplantando a correos

Utilizando este reclamo y la urgencia se fuerza al usuario a que haga clic en el enlace «Descargar información sobre su pedido». Si el usuario selecciona el enlace anteriormente citado será redirigido a una web similar a la siguiente:

web suplantando correos

La web fraudulenta muestra el logo de Correos y un mensaje que queda estático. Además se descarga automáticamente un archivo comprimido llamado «Carta_Certificada.zip» que en su interior contendrá otro archivo llamado «Carta_Certificada.js». Este archivo es un malware del tipo ransomware que comenzará a cifrar los datos del equipo y pedirá un rescate para su recuperación.

¿Te gustaría recibir estos avisos en tu lector de RSS? Anímate y suscríbete a nuestro servicio de avisos o a síguenos en las redes sociales: en Twitter @incibe y en Facebook @protegetuempresa. Serás el primero en enterarte de los últimos avisos de seguridad para empresas.