El ransomware que ataca a través de búsquedas de empleo

Empezamos el año con ataques de ransomware. Esta vez se trata de GoldenEye, la última variante del ransomware Petya. En esta ocasión los perjudicados son los departamentos de recursos humanos, ya que este malware se distribuye a través de un software malicioso utilizando una falsa solicitud de empleo, y para estas empresas es inevitable abrir los correos de terceros con archivos adjuntos de currículums de aspirantes, por lo que es más fácil la infección.

El rescate por la devolución de los datos es 1,3 BitCoins lo que equivale a 950 euros aproximadamente.

Método de propagación

Las empresas alemanas han sido las primeras víctimas. El ataque se llevado a cabo a través de un email de búsqueda de trabajo que contiene un mensaje que procede del supuesto candidato y dos anexos.

ransomware textEl primer archivo se trata de un pdf que incluye una carta de presentación y sin ningún elemento peligroso incorporado, ya que se quiere transmitir al receptor del mensaje una falsa sensación de seguridad. El segundo adjunto es un Excel con macros peligrosos desconocidos para el receptor que contiene una imagen de una flor con el texto “loading” en su parte inferior, y un texto en alemán pidiendo a la víctima que autorice el contenido de forma que las macros puedan ejecutarse. Todos siguen un esquema parecido, empezando por el nombre del candidato y la palabra solicitud en alemán (Bewerbung).

Proceso de cifrado

Cuando un usuario hace clic en Enable content, el código se ejecuta e inicia el proceso de encriptado, negando al internauta el acceso a sus ficheros.

GoldenEye incorpora aleatoriamente una extensión de 8 caracteres a cada archivo cifrado. Una vez que la información es codificada, muestra la nota “Your_files_are_encrypted.txt”. Después se fuerza al equipo a reiniciarse y comienza a encriptar el disco duro. Mientras que este proceso se está llevando a cabo, una falsa pantalla informa de que el PC se está reparando y para finalizar aparece una nota de rescate.

El desarrollador que está detrás del ransomware Petya es un famoso cibercriminal conocido como Janus.

Recomendaciones

Desde Nethive os decimos siempre que para protegernos del ransomware es importante realizar copias de seguridad de forma frecuente, para que en el caso de que nos cifren la información, no tener que acceder al pago del rescate. Además de tener actualizado el sistema operativo y poseer un buen antivirus que detenga los posibles ataques.

Community Manager y apasionada de las redes sociales

 

Acerca de

Nethive es una consultora tecnológica independiente especializada en la prestación de servicios informáticos con amplia experiencia en el sector de las telecomunicaciones.

En este blog nuestros técnicos publican información relevante sobre la industria tecnológica internacional, imprescindible para conocer, por ejemplo, ciberataques y riesgos que puedan comprometer la seguridad de su empresa.

Solicitar presupuesto sin compromiso

Ofrecemos servicios informáticos que ayudarán a su empresa a ser más eficiente, efectiva y competitiva. Si cree que podríamos encajar en sus necesidades, deje que nos pongamos en contacto.