ALERTA: Malware por Email relacionado a asuntos jurídicos.

Hace un par de días recibimos la alerta de un cliente que recibió el siguiente email:

De: RAMA JUDICIAL <notificacionesycitaciones.@cendoj.ramajudicial.gov.co>
Enviado el: Friday, November 22, 2019 2:32 PM
Para: Undisclosed-Recipients:
Asunto: Hemos reprogramado la audiencia de imputacion de cargos para el dia viernes 29 de noviembre en el proceso adelantado en su contra.
Importancia: Alta
TELEGRAMA RGO   3100901278
Hemos reprogramado la audiencia de imputacion de cargos en el proceso adelantado en su contra ya que no contabamos con su presencia o la  de su defensor , esta se llevara a cabo nuevamente en el complejo judicial de paloquemao el dia viernes 29 de noviembre del presente año le agradecemos puntual asitencia .
IMPORTANTE:  Si usted por algun motivo no esta enterado(a) de este proceso en su contra  lo hemos adjuntado.
Todo documento adjunto contiene una contraseña es : 2019

MALWARE EMAIL BLOG

  • Este email viene con un archivo adjunto en formato de texto enriquecido (*.rtf).
  • Dentro del archivo adjunto no hay ningún escrito, sólo un enlace a un URL traducido en el sitio:  https://acortaurl.com
  • El URL direcciona a http://download*.mediafire.com
  • El archivo descargado es un archivo cifrado *.zip protegido con contraseña.
  • Al descomprimir el archivo hay un ejecutable *.exe que contiene un virus.

ANÁLISIS:

Este email requiere de un alto grado de colaboración del usuario receptor del correo para lograr su objetivo, lo cual logra al enviar una notificación en español perfectamente redactada y hasta cierto punto creíble, porque incluye una notificación judicial con fecha de expiración (29 de Noviembre).

El ataque de malware está compuesto de elementos que por sí solos, no parecieran constituir un riesgo en sí mismos, pero que combinados de la forma en que se hizo, con la total complicidad del receptor del correo, pudieran lograr su cometido:

  • Un email que en su cuerpo no contiene ninguna URL o referencia directa que pueda ser declarado como sospechoso en un análisis rápido.
  • Un adjunto por email en formato texto, normalmente permitido en las organizaciones.
  • Un enlace a un sitio “seguro” https, con un enlace traducido del cual un usuario promedio no sospecharía.
  • Un redireccionamiento para un sitio de descarga (se espera el archivo con la notificación judicial) de un archivo protegido con contraseña.
  • Un archivo comprimido con contraseña que no va a ser analizado por el antivirus, por poseer clave.

PREVENCIÓN:

  • Si la dirección de correo remitente no es de su jurisdicción o usted no mantiene relaciones con dicho país, debe sospechar que el email está equivocado.
  • Si el email no específica directamente su dirección de correo, no es un email válido como notificación judicial. Haga caso omiso y elimine el email.
  • Si el email no incluye su nombre completo en el cuerpo del email, tampoco es válido como notificación judicial.  Puede descartar el correo.
  • En la notificación se indica la fecha en que debe asistir, pero no se incluye la hora.  Otro elemento de sospecha.
  • Enviar una contraseña en un correo electrónico general que le remite a un correo adjunto que usará dicha contraseña no tiene sentido lógico, más que evadir un antimalware para correo.  Los archivos protegidos y las claves de descifrado siempre deben viajar por diferentes medios.
  • El email carece de una firma con datos que permitan validar la procedencia legítima del correo y su notificación asociada.

PROTECCIÓN:

  • Configure su solución de seguridad para que no permita la ejecución de traductores de enlaces o URL recortados.
  • Configure su solución de seguridad para que prohíba o alerte del uso de sitios de descargas de archivos genéricos.
  • No permita la descarga directa de archivos que no puedan ser analizados por su antivirus.  Envíelos a cuarentena y solicite a su soporte técnico que evalúe el archivo.
  • Configure su Antivirus para que no permita la descarga o ejecución de archivos ejecutables.
  • Su computador debe ser utilizado con permisos de usuario limitado.  Los permisos de administrador son sólo para acciones puntuales, no deben ser de uso diario.

 

Estadísticas de Ransomware en 2do y 3er Trimestre de 2019.

Fuente: EMSISOFT BLOG

Los ataques de ransomware continuaron volviéndose más enfocados y sofisticados en el segundo y tercer trimestre de 2019. Los creadores de estas amenazas apuntan  a objetivos más grandes y más rentables, como empresas, escuelas y organizaciones gubernamentales.

Las cepas de ransomware como Ryuk desempeñaron un papel predominante, paralizando a docenas de entidades públicas en todo Estados Unidos, mientras que el ransomware como servicio como Sodinokibi y GandCrab permitió a los distribuidores de ransomware generar millones, quizás incluso miles de millones de dólares en pagos de rescate.

La estadísticas presentadas se basan en datos de más de 230,000 muestras envíadas a Emsisoft e ID Ransomware entre el 1 de abril y el 30 de septiembre de 2019. 

WORDPRESS ESTADISTICAS DE RANSOMWARE

  1. STOP (djvu): 56.00%
  2. Dharma (.cezar family): 12.00%
  3. Phobos: 8.90%
  4. GlobeImposter 2.0: 6.50%
  5. REvil / Sodinokibi: 4.50%
  6. GandCrab v4.0 / v5.0: 3.60%
  7. Magniber: 3.30%
  8. Scarab: 2.00%
  9. Rapid: 1.80%
  10. Troldesh / Shade: 1.40%

 

STOP – DJVU:  Es la cepa de ransomware más comúnmente reportada durante el período del 1 de abril al 30 de septiembre, que representó el 56 por ciento de todas las muestras recibidas. Hubo más de 76,000 envíos de STOP / DJVU a ID Ransomware, lo que probablemente representa solo una fracción del número total de víctimas. Visto por primera vez a finales de 2018, STOP / DJVU ha crecido para incluir docenas de variantes. STOP se dirige a usuarios domésticos y a menudo se distribuye a través de sitios Torrents. Por lo general, está oculto en Licencias crackeadas o en KeyGen,  que descargan los usuarios para activar software de pago de forma gratuita. Una vez ejecutado, STOP encripta archivos con encriptación Salsa20 e instruye a las víctimas a pagar un rescate de $ 490 en Bitcoin a cambio del software y la clave de descifrado privada. Después de 72 horas, la demanda de rescate se duplica a $ 980. Las herramientas de descifrado gratuitas están disponibles para un número limitado de variantes, pero las versiones más recientes no se pueden descifrar.

DHARMA – .cezar: El segundo ransomware más enviado a ID Ransomware durante Q2 y Q3 2019 fue una variante de Dharma que agrega la extensión .cezar a los archivos cifrados.  Dharma ha existido de una forma u otra desde 2016, pero ha visto un aumento en la actividad en los últimos meses. Esto puede deberse a que los creadores del malware hacen un uso más efectivo de múltiples vectores de ataque, como archivos adjuntos de correo electrónico malicioso, instaladores infectados y credenciales de inicio de sesión RDP débiles o filtradas. A diferencia de muchos otros tipos de ransomware, Dharma (familia .cezar) no especifica una cantidad de rescate; en cambio, instruye a las víctimas a contactar a los distribuidores del ransomware por correo electrónico para negociar el rescate. El monto del rescate tiende a ser mayor para las empresas más grandes. Dharma se dirige principalmente a las empresas. Ha afectado a varias organizaciones importantes, incluido el Hospital Altus Baytown, Texas. El ataque cifró registros y archivos del hospital que contenían información importante de los pacientes, como nombres, números de seguro social, información de tarjetas de crédito y más. El hospital se negó a pagar el rescate y, en cambio, contrató a un consultor de ciberseguridad para restaurar los sistemas del hospital a partir de las copias de seguridad.

PHOBOS: Llamado así por el dios griego del miedo, Phobos fue responsable del 8.9 por ciento de las muestras enviadas a ID Ransomware entre el 1 de abril y el 30 de septiembre. Phobos se parece mucho a la familia de ransomware Dharma y fue descubierto por primera vez a principios de 2019. Phobos se propaga principalmente explotando puertos RDP abiertos o mal asegurados. Las listas de credenciales de RDP robadas se venden con frecuencia en el mercado clandestino y pueden ser extremadamente valiosas para los cibercriminales. Al igual que con Dharma, Phobos no establece una cantidad de rescate y, en su lugar, indica a las víctimas que envíen un correo electrónico a los atacantes para discutir el precio del descifrado. Hubo casos en que no se entregó ninguna herramienta de descifrado después del pago. Phobos se dirige principalmente a empresas y entidades públicas. En julio de 2019, el Distrito Escolar del Área de Wyoming perdió el acceso a los datos después de ser golpeado con Phobos, que ingresó al sistema a través de un ataque de fuerza bruta a través de un puerto directamente publicado. 

Para ampliar la información, puede consultar el siguiente enlace:

https://blog.emsisoft.com/en/34335/ransomware-statistics-for-2019-q2-to-q3-report/