Sabíamos que no era la primera vez, ni iba a ser la última, en la que los cibercriminales utilizaban el nombre de una compañía de prestigio para engañar a los usuarios y lucrarse con el rescate que te obligan a pagar para recuperar la información robada en el ataque.
PandaLabs, el laboratorio anti-malware de Panda Security, ha descubierto cómo en las últimas 24 h la PGE, la compañía eléctrica estatal de Polonia, ha sido utilizada de la misma manera para infectar los sistemas de los usuarios que abran la “factura” a partir del email.
Los cibrecriminales han utilizado un malware del tipoLocky, una amenaza que se ha popularizado últimamente. La peculiaridad de este caso es que se trata de un ataque personalizado que cuida mucho el detalle haciendo que el usuario no se percate en ningún momento de que va a ser víctima de un agresivo ataque. Esta semana se ha producido en España y en Polonia, pero mañana puede llegar a tu país por lo que vamos a analizar paso a paso su funcionamiento para ayudarte a prevenir.
Un ataque personalizado, paso a paso
1- En los dos casos analizados el email en cuestión llega al buzón de spam y el sujeto que los envía es la compañía eléctrica correspondiente al país.
2- Aparentemente, la factura es igual a las recibidas en otras ocasiones aunque, analizando ciudadosamente el caso de la PGE, el mensaje puede aparecer algo desordenado y con caracteres polacos insertados casi al azar.
3- Cuando el usuario desea ampliar la información haciendo clic en el botón de “Consultar tu factura y consumo” que aparece debajo del resumen del supuesto consumo de luz, ya sea demasiado tarde. En ransomware contenido en el archivo Zip. accede a tu sistema, infectándolo y ejecutando un código Java Script malicioso.
4- Tal es el detalle de personalización de esta campaña que el usuario debe completar un código captcha para poder descargar el Zip. lo que nos hace pensar que estamos llevando a cabo una descarga segura cuando, en realidad, eres víctima de un potente ransomware.
5- Una vez ejecutado y bloqueado el acceso a tus archivos, este agresivo Locky te obliga a pagar un rescate para liberar el secuestro de tus datos.
El principal problema de este tipo de amenazas es que no suelen descubrirse a tiempo y son ejecutadas por un ransomware altamente agresivo, por lo que las compañías se han visto obligadas a reforzar su seguridad y la de sus clientes con soluciones de ciberseguridad avanzada como AdaptiveDefense 360.