La Brigada Central de Seguridad Informática ha detectado una campaña de ciberataques a estudios de arquitectura suplantando empresas, ¿Cómo evitarlo? ¿Qué hacer en caso de ser victima?

La Policía Nacional, a través de la Brigada Central de Seguridad Informática, se ha puesto en contacto con el COAM para difundir una alerta a los colegiados y estudios de arquitectura ante varios ciberataques que se han detectado. Entre las funciones encomendadas a la Brigada Central de Seguridad Informática de la Unidad Central de Ciberdelincuencia se encuentra el ciberpatrullaje activo.





Resultado de estas tareas, así como a la colaboración ciudadana a través del apartado colabora de la página web www.policia.es , se tiene conocimiento del auge de una campaña de distribución del ramsomware denominado Lockbit Locker dirigidas contra empresas dedicadas a la arquitectura, mediante la suplantación de la empresa Fotoprix.

En este caso, los atacantes envían un correo electrónico a ciertas compañías de arquitectura desde un dominio del tipo “fotoprix.eu” (no existiendo dicho dominio), solicitando presupuesto a las mismas para realizar una reforma en la sede de la empresa fotográfica.

Tras varios emails, los atacantes proponen concretar una fecha para una reunión inicial y así poder concretar el presupuesto, pero, como requisito previo a la misma, envían vía “WeTransfer” unos documentos con las especificaciones de la reforma para que la empresa de arquitectura pueda ajustar lo máximo posible el presupuesto a las necesidades.

Cuando la víctima descarga el fichero infectado y lo ejecuta en su ordenador, este queda automáticamente encriptado y los cibercriminales solicitan un rescate para recuperar los ficheros, cuyas instrucciones quedan reflejadas dentro de un archivo .txt que se copia en el equipo afectado. a este tipo de archivos se les denomina ransomware.





¿Qué es el ransomware?


El ransomware es un tipo de malware que se introduce en los equipos y dispositivos móviles impidiendo el acceso a la información, generalmente cifrándola, y solicitando un rescate (ransom, en inglés) para que vuelva a ser accesible. Después de la infección inicial, el malware intentará propagarse al resto de los sistemas conectados a la red, incluyendo unidades de almacenamiento compartidas.



¿Cómo se produce la infección?


En la mayoría de los casos la infección se produce por:

Correos electrónicos que utilizan la ingeniería social para que la víctima descargue adjuntos infectados o acceda a un sitio web malicioso a través de un enlace.
Ataques usando el protocolo de escritorio remoto (RDP), ya sea aprovechando alguna vulnerabilidad en el sistema o con ataques de fuerza bruta.
Vulnerabilidades de servicios expuestos a internet (FTP, SSH, TELNET, etc.).
Vulnerabilidades en los sistemas operativos y en navegadores que facilitan la infección al visitar sitios fraudulentos.
Dispositivos externos infectados que se conectan a los equipos corporativos.
Por medio de otro malware que previamente ha entrado en nuestro dispositivo, como por ejemplo en el caso de Emotet.



¿Cómo funciona el ransomware?


El ransomware identifica las unidades de un sistema infectado y comienza a cifrar los archivos dentro de cada unidad. Por lo general, el software de rescate añade una extensión a los archivos cifrados, como .aaa, .micro, .encrypted, .ttt, .xyz, .zzz, .locky, .crypt, .cryptolocker, .vault o .petya, para mostrar que los archivos han sido cifrados. La extensión de archivo utilizada es específica para cada tipo de ransomware. El ransomware se manifiesta cuando el dispositivo está infectado y ya no se puede acceder a la información. Una vez que ha cifrado todos los archivos, muestra por pantalla un mensaje que contiene instrucciones sobre cómo pagar el rescate, similar al de la imagen siguiente:







Se alerta de que la campaña ha alcanzado un nivel de sofisticación muy alto dado que las comunicaciones de los ciberdelincuentes resultan totalmente concordantes y congruentes, por lo que las víctimas no sospechan nada hasta que sufren la encriptación de los equipos.


A continuación, se enumeran unas recomendaciones para evitar ser víctima de campañas de ransomware:


No abrir correos procedentes de remitentes desconocidos o a los que no se hayan solicitado información previa.
No descargar archivos adjuntos de correos procedentes de remitentes desconocidos
• Tener siempre actualizado el sistema operativo y el antivirus.
• Realización periódica de copias de seguridad independientes.



A continuación enumeramos una serie de recomendaciones sobre cómo actuar, según las circunstancias, ante una infección de este tipo.


Comprueba si existe una solución que permite el descifrado: para ello, podemos contar con el proyecto avalado por la EUROPOL denominado No More Ransom. En esta web puedes consultar si existe una herramienta de descifrado para la variante de ransomware que ha cifrados tus archivos. Si es así, sigue las instrucciones para utilizarlo. Deberás adjuntar un par de ficheros cifrados, así como la nota de rescate dejada por los ciberdelincuentes.
¿Tienes una copia de seguridad limpia y reciente?: la copia de seguridad siempre te asegura poder recuperar tu información. Desinfecta los equipos infectados y restaura las copias correspondientes. Recuerda la importancia de hacer backups con la estrategia 3-2-1, cuya base es la diversificación de las copias para garantizar que siempre haya una disponible, de tal manera que podamos con garantías tener alguna de las copias que no haya sido también cifrada por el malware.
¿Dispones de Shadow Volume Copy?: si dispones de esta copia de los ficheros que Windows realiza automáticamente, puedes restaurar la información fácilmente utilizando el Shadow Explorer.
¿Pueden recuperarse ficheros afectados mediante software forense?: existen soluciones utilizadas para recuperar información en el ámbito forense que en ocasiones pueden recuperar ficheros originales borrados por el ransomware.
¿Debes conservar los ficheros cifrados?: si has perdido información porque no tenías copia de seguridad y actualmente no existe ningún software que descifre tus archivos, guárdalos. Puede que en el futuro exista una solución para esa variante de ransomware. En ningún caso el pago del rescate es una opción aconsejada, ya que no existe garantía de recuperar la información de este modo y fomenta el lucro de los ciberdelincuentes.


No hay comentarios:

Publicar un comentario