Historias de Ransomware: Campañas de spam
Uno de los principales vectores de infección utilizados por los creadores de ransomware son los correos de spam, de los cuales todos alguna vez hemos sido víctimas; por eso queremos compartir con Usted las “herramientas” y los engaños de que se valen los ciberdelincuentes para infectar nuestros equipos, partiendo de casos detectados por nuestro laboratorio antimalware PandaLabs y comentados por su director técnico, Luis Corrons.
¿Cómo identificar un ransomware, en un correo spam?
Según explica Luis Corrons, las campañas de spam que utiliza el ransomware suelen estar protagonizadas por mensajes acompañados de archivos adjuntos comprimidos (.zip) que contienen el código malicioso que debe ejecutar el usuario. Estos archivos pueden ser de tipo PE (normalmente un archivo con extensión .exe), un script (.js, .vbs, .wsf, etc.) o un documento de Word (comprimido o no). Otra estrategia (bastante exitosa para los ciberdelincuentes, tal y como vimos en la campaña de los recibos falsos del servicio de energía eléctrica alertado hace un par de meses por PandaLabs es incluir un enlace en el correo que lleve a la víctima a una página Web desde la cual se descarga el archivo comprimido, que contiene el ransomware.
¿Cuál es la frecuencia de estos ataques?
En el laboratorio PandaLabs, en los últimos dos meses se han neutralizado múltiples de ransomware que utilizaban o bien archivos PE o scripts recibidos vía correo electrónico (como archivos adjuntos o a través de enlaces a páginas Web).
En total, hemos bloqueado 22.665 intentos de infección, comentó Luis Corrons. “Tengamos en cuenta que estamos hablando de los ataques que consiguieron superar el resto de barreras de protección existentes (archivos de firmas, análisis heurístico, filtros de webs maliciosas, etc.), por lo que el número real de ataques es todavía mayor. En estos casos, observamos unpatrón determinado: a 2 días en los que se bloquea un menor número de intentos de infección, le siguen 5 días en los que el número de infecciones aumenta. Sí, por lo que parece, a los ciber-delincuentes también les gusta disfrutar de sus fines de semana. La verdad es que resulta algo normal si tenemos en cuenta que hoy en día su principal objetivo son las empresas, y que estas son más activas de lunes a viernes”, agregó.
Otro tipo de incidencia registrada en nuestro laboratorio es el de los ataques protagonizados por documentos de Word maliciosos, los cuales son menos frecuentes que los protagonizados por scripts maliciosos; sin embargo, sólo en dos meses bloqueamos 3.493 intentos de infección, puntualizó Corrons.
En este tipo de ataque también se presenta el mismo patrón relacionado con los fines de semana. Pero Word no es el único tipo de archivo de Microsoft Office que se emplea en estos ataques, existen otros que, aunque menos frecuentes, aparecen de vez en cuando. Por ejemplo, en los últimos dos meses detectamos una campaña de spam que utilizaba Excel.
El consejo que les ofrecemos desde Panda Security, para evitar ser víctimas de este tipo de ataques, además de mantener sus sistemas operativos y programas instalados en sus equipos actualizados -incluyendo una solución antivirus y si es una empresa una capa adicional de seguridad para su red- es usar el sentido común: dude siempre de archivos ejecutables (.exe) y comprimidos (.zip) recibidos de desconocidos o como parte de envíos masivos en Word e inclusive en Excel; ante la gran oleada de ransomware, la prevención es siempre su mejor aliada.
Sobre Panda Security
Fundada en 1990, Panda Security es la empresa líder a nivel mundial en soluciones de seguridad basadas en la nube. Con sede en España, la compañía cuenta con presencia directa en más de 80 países, productos traducidos a más de 23 idiomas y millones de clientes en todo el mundo. Su misión es simplificar la complejidad creando nuevas y mejores soluciones para salvaguardar la vida digital de sus usuarios. Como parte de su política de Responsabilidad Social Corporativa, Panda Security colabora con el Proyecto Stella para promover la inserción social y laboral de personas con síndrome de Down y otras discapacidades intelectuales. Para más información, visite http://www.pandasecurity.com/.