Crypto-Ransomware se concentra en la región EMEA

La temporada de fiestas a menudo supone mucha actividad para los servicios de correos y paquetería, porque la gente compra en línea y comienza a enviar sus regalos a seres queridos que están lejos. Por esto, no sorprende demasiado recibir una notificación sobre encuesta de satisfacción sobre el envío de un paquete específico.

Los ciberdelincuentes, conscientes de esto, han comenzado a utilizar la entrega de paquetes como señuelo de ingeniería social para los recientes ataques crypto-ransomware de la región EMEA (Europa-Oriente Medio-África). Esto supone un importante giro porque los ataques previos están relacionados con las facturas y los estados financieros.
Según el feedback de Trend Micro Smart Protection Network, algunos países están en el top de víctimas de crypto-ransomware del último trimestre. Analizando los siguientes gráficos, podemos ver que España, Francia, Turquía, Italia y el Reino Unido se encuentran entre el grueso de víctimas de cripto-ransomware.

Affected Countries

1. Principales países infectados en la región EMEA, septiembre 2014

Affected Countries

2. Principales países infectados en la región EMEA, octubre 2014

Affected Countries

3. Principales países infectados en la región EMEA, noviembre 2014

El camino a la infección

Las variantes Crypto-ransomware actúan casi siempre siguiendo la misma rutina. La víctima recibe un correo electrónico que contiene un vínculo o archivo adjunto. La ingeniería social se asegura de que la víctima hace clic en el enlace o abre el archivo adjunto que es en realidad un archivo malicioso. En este ejemplo en particular, las conversaciones por correo electrónico hablan sobre un paquete recibido.

11

1. Ejemplo de mensaje

En caso de que el beneficiario haga clic en el enlace, se le redirige a otro sitio, donde se debe ingresar un código CAPTCHA. Este sitio es una versión falsificada de un sitio de mensajería.

12

2.Código CAPTCHA para acceder al archivo

Después de introducir el código CAPTCHA, se descarga un histórico de archivos. Pero antes de que  la descarga final– cifrado de archivo- se ejecute, el usuario todavía tiene que extraer el archivo malicioso. Detectamos esta variante particular como TROJ_CRYPLOCK.WJP.

13

3.Un archivo ZIP que se descarga

(No) pagar el rescate

Las víctimas podrían tener la tentación de resolver el problema de inmediato mediante el pago de la tasa. Sin embargo, no hay garantías de que el pago suponga el descifrado. Algunas variantes de crypto-ransomware incluso ofrecen una muestra gratuita de descifrado, pero de nuevo, esto es más probable que sea una estratagema para convencer a los usuarios de que el descifrado es posible y así animar a la víctima a pagar la tasa.

Contramedidas

Nuestra entrada de blog Defending Against CryptoLocker, habla largo y tendido sobre los pasos que un usuario o una empresa deben  tomar para proteger ordenadores y archivos de crypto-ransomware. Estas medidas de seguridad incluyen el establecimiento de políticas de correo electrónico para bloquear las amenazas potenciales a través de archivos adjuntos y la instalación de soluciones de escaneo anti-spam o correo electrónico.

Los usuarios también pueden configurar algunas opcionespara agregarotra capa de protección. Por ejemplo, pueden configurarsu nivel deseguridad de macros para maximizar odesactivarlo por completo, porque estamos viendo que las macros se utilizanen los ataques. Los usuarios también puedencomprobar que los ajustes en elcontrol de accesode usuarioestán habilitadospara evitar que aplicaciones maliciosas se ejecuten de forma automáticacon derechos de administrador.

Es importante que usuarios y empresas empleen soluciones de seguridad para proteger sus dispositivos y mantengan estas soluciones actualizadas. Deben buscar características tales como análisis en tiempo real, que puededetectar y bloquear archivos maliciosos en tiempo real, reputación web para bloquear cualquier sitio y comunicación maliciosa  y reputación de correo electrónico para buscar lasposibles amenazas en mensajes de correo electrónico. Monitorizar el comportamiento también puede mejorar en gran medida la seguridad de un sistema, ya que pueden verse y bloquear rutinas sospechosas y maliciosas.

Las empresas pueden proteger sus sistemas con la solución personalizada de Defensa de Trend Micro. Deep Discovery Email Inspector puede ayudar a detectar y bloquear correos electrónicos maliciosos antes de que sean entregados al usuario objetivo analizando el ataque desde diferentes perspectivas, junto con las herramientas forenses proporcionadas por Deep Discovery Endpoint Sensor con el fin de realizar una investigación en su red para identificar elementos específicos (archivos, claves de registro, procesos, etc.) relacionados con amenazas. Deep Discovery Email Inspector también envia archivos adjuntos marcados a Deep Discovery Analyzer para su análisis. Analizer envía estos archivos a un entorno limitado personalizado, donde puede ejecutar de forma segura y analizar código potencialmente malicioso. Un informe detallado se entrega al remitente.

Hash del malwaremencionado:

  • ec447c585ab0b0b501c3d6d06a370d2d963f87dc1d751acaeb4e40f9f7ffa665

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.