Oleada de ransomware suplantando a Endesa

Fecha de publicación: 
31/05/2016
Importancia: 
5 - Crítica
Recursos afectados: 

Potencialmente cualquier empleado que reciba correo electrónico, y en particular quienes gestionen las facturas de las empresas.

Descripción: 

Se ha detectado una campaña de phishing que suplanta la identidad de la empresa Endesa con el objetivo de engañar a los usuarios mediante ingeniería social, utilizando una supuesta factura de la compañía como gancho, con un enlace que descarga un virus que cifrará los archivos del ordenador y solicitará una cantidad para que puedas "rescatarla".

Solución: 

Se recomienda consultar siempre las facturas y cualquier otro dato confidencial que necesite de una autenticación previa, accediendo directamente a la página web, y no desde un enlace de un correo.

Como en cualquier otro caso de ransomware, se recomienda extremar las precauciones ante cualquier correo recibido de origen sospechoso o con contenido que no suele ser consultado, especialmente si contienen archivos adjuntos o enlaces externos.

Como pautas generales, para evitar ser víctima de fraudes de tipo ransomware:

  • No abras correos de usuarios desconocidos o que no hayas solicitado: elimínalos directamente.
  • No contestes en ningún caso a estos correos.
  • Precaución al seguir enlaces en correos electrónicos, SMS, mensajes en Whatsapp o redes sociales, aunque sean de contactos conocidos.
  • Precaución al descargar ficheros adjuntos de correos, en SMS, mensajes en Whatsapp o en redes sociales, aunque sean de contactos conocidos.
  • Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus comprobar que está activo.
  • Asegúrate que las cuentas de usuario de tus empleados utilizan contraseñas robustas y sin permisos de Administrador

Además, es importante asegurarnos que estamos realizando periódicamente copias de seguridad. Guárdalas en un lugar diferente al origen de los datos y verifica puntualmente que se realizan correctamente. Por ejemplo, restaurando una copia de seguridad y verificando los datos restaurados. De esta forma, en el caso de vernos afectados, podemos recuperar la actividad de nuestra empresa de forma ágil.

Además, para prevenir y reforzar estos consejos, es importante realizar acciones de formación y concienciación en ciberseguridad entre los empleados.

Si necesita soporte o asistencia, y se ha visto afectado por este malware, INCIBE te ofrece su servicio de Respuesta y Soporte ante incidentes de seguridad.

Detalle: 

Un trabajador recibe, en su correo electrónico, un mensaje del remitente «Factura electrónica de Endesa» con un asunto que comienza con el nombre y apellidos asociados a la cuenta de correo del destinatario seguido de "Factura" y unos caracteres alfanuméricos generados aleatoriamente

El contenido del correo simula ser una factura legítima de Endesa, donde se muestra parte de la factura, con una elevada cuantía, junto a un botón donde se invita a consultar el detalle de la factura.

El mensaje tiene el siguiente aspecto:

correo malicioso Endesa

La elevada cuantía de la factura, invita a pinchar sobre el enlace "Consulta tu factura y consumo", lo que hace que se descargue un fichero comprimido llamado «ENDESA_FACTURA.zip»

Página web falsa Endesa

Este fichero comprimido contiene un archivo JavaScript llamado «ENDESA_FACTURA.js» que al ser ejecutado instalará el malware en el equipo de la víctima.

Archivo JavaScript

Según fuentes de la compañía el malware se trataría de un ransomware cuyo propósito es cifrar los ficheros del equipo infectado para impedir su acceso y posteriormente pedir un rescate.

¿Te gustaría recibir estos avisos en tu lector de RSS? Anímate y suscríbete a nuestro servicio de RSS o sigue nuestros perfiles de redes sociales en twitter @incibe y facebook: "protegetuempresa". Serás el primero en enterarte de los últimos avisos de seguridad para empresas