*Un nuevo 'secuestro exprés' de datos
fingiendo la recogida de un paquete postal ha sido enviado a miles de buzones
electrónicos
*Consulta cómo funciona la estafa en
cuatro ´pantallazos´
'Pantallazo' del correo infectado del ataque informático de hoy
Miles de emails enviados a
cuentas de correo con el mismo contenido. Un supuesto certificado de Correos
para recoger un paquete que no había podido ser entregado a su dueño. Pero al
descargar el archivo que adjunta los detalles del envío, el ordenador se
infecta con un virus y todos los archivos de textos e imágenes quedan
bloqueados. Si el usuario quiere recuperarlos, solo tiene una alternativa:
pagar 299 euros en bitcoins por el secuestro exprés
de sus datos. Aquí puedes ver cómo funciona la estafa en cuatropantallazos.
Este ataqu es solo el último en
una moda entre los delincuentes informáticos conocida comoramsonware. El
procedimiento es sencillo: el ordenador se infecta con un programa que codifica
los datos que deseen atacar los piratas. Y luego se pide un rescate por
recuperarlos. Normalmente, con cuenta atrás. En el caso del ataque de esta
mañana, el afectado tiene tres días para pagar o se le doblará el precio. Si no
paga, la clave que libera sus datos será borrada, quedando inaccesibles.
"Y es casi imposible recuperarlos. Salvo que tengamos copia de seguridad.
Pero estos criminales han diseñado ya estos virus para que, nada más infectar
el ordenador, se borren todas las copias automáticas de seguridad de nuestros
archivos", explica Luis
Corrons Granel (Bilbao, 1975), director técnico de PandaLabs, el laboratorio encargado con lidiar con las
amenazas informáticas de la empresa de antivirus, que ha detectado e informado de la amenaza esta mañana.
La metodología de los criminales es
sofisticada. Corrons explica los detalles: "El envío de los emails infectados
se hace una sola vez en una oleada por ataque. Suelen coordinarse desde varios
países y atacar más de una región en el mundo, aunque en este caso solo lo
hemos detectado en España. Exigen el pago en bitcoin y utilizan la red Tor para que no se les pueda rastrear.
Y suelen pagar los rescates. Si no lo hicieran sus clientes (es decir, sus
víctimas) probablemente no pagarían en un nuevo ataque". Panda detectó la
presencia de esta infección cuando en su red de usuarios comenzó a presentarse
un tipo de fichero nuevo. "Hay miles al día que pueden ser actualizaciones
o malware. Pero es un aviso para investigar si hay un problema de
seguridad".
Los criminales piden que el
usuario pague 299 euros para que recupere sus datos. Si no los ingresa en tres
días, doblan la cuantía el rescate.
La clave del éxito de la infección es lo
preciso que sea el camuflaje de la institución o empresa a la que se suplanta.
En este caso, la imitación de Correos tenía muchos fallos de redacción, lo que
en opinión de Corrons indica que "probablemente" los delincuentes no
sean españoles y hayan usado un programa de traducción online. Pero
en otros aspectos, la copia está muy trabajada. Cuando se pincha en el link que
adjunta el correo para revisar el estado del paquete, se abre una página
clonada que cuenta con todos los elementos para que resulte creíble. Incluye
incluso uncaptcha, el código para detectar que quien interactúa con una
página es una persona y no un robot. Después de introducir los datos, se ofrece
un archivo zip a descargar con un pdf en su
interior. Pinchar en él es decirle adiós a los datos personales... Hasta que se
pague el rescate. "El daño que te pueden hacer a nivel personal y
profesional es brutal. En una empresa podría bloquear todos los archivos, tanto
los personales como los compartidos. Y en el caso de un usuario, pues podrías
perder todas las fotos de tus viajes o tu familia más los documentos de texto
que tengas", detalla Corrons.
No es la primera vez que se suplanta la
identidad de Correos. A finales de enero, piratas informáticos bloquearon 400.000 archivos del IFEMA utilizando la misma estrategia de
clonación. En menos de un minuto, los archivos quedaron bloqueados por el
virus Cryptolocker. En noviembre de 2013, la comisaría de policía de Swansea
(Massachussetts) pagó 2 bitcoin (unos 449 euros) para liberar sus archivos.
El Instituto Nacional de
Ciberseguridad de España (INCIBE), institución dependiente del ministerio
de Industria, Energía y Turismo, tiene una detallada web dedicada alramsonware.
"Aunque no están atacando constantemente, son de los que más daño están
haciendo. Porque van directamente a por tus archivos", remata Corrons.
CSI-F, TU REFERENTE INFORMATIVO
No hay comentarios:
Publicar un comentario