Alerta: Nueva campaña de ransomware suplantando a Endesa

31/05/2016
CSIRT-cv
Se ha detectado una nueva campaña de distribución de ransomware que utiliza como gancho una supuesta factura emitida por Endesa. Se recomienda extremar precauciones al respecto.

Nos encontramos ante una nueva variante de ransomware de tipo TorrentLocker, un software malicioso que al infectar nuestro equipo le da al ciberdelincuente la capacidad de bloquear el equipo desde una ubicación remota y cifrar nuestros archivos quitándonos el control de toda la información y datos almacenados.

Además, exigen un pago para devolver el control. Los archivos son irrecuperables a menos que la organización afectada haga copias de seguridad y que estos datos no hayan sido afectados por el ransomware. La vía de infección suele ser el correo electrónico simulando ser una factura de Endesa con un enlace que descarga el malware desde una ubicación remota. Se ha detectado que el ransomware contacta con distintos dominios para comunicarse por lo que os recomendamos su filtrado para evitar posibles conexiones

Un ejemplo del correo electrónico malicioso recibido sería el siguiente:

Con el fin de reducir el riesgo de ser infectados con el Ransomware se deben realizar, en la medida de lo posible, las siguientes acciones:

  • Extremar las precauciones y, en caso de recibir un correo de origen sospechoso, lo notifiquen al administrador de seguridad del sistema o no lo abran
  • Bloquear en el proxy de su organización los dominios que se han detectado y están involucrados en la campaña. Hasta ahora hemos detectado los siguientes aunque estan activos durante muy poco tiempo y van cambiando constantemente:
hxxp://endesa-clientes .com
hxxp://yamg.endesa-clientes .com
hxxp://www.endesa-clientes. net
hxxp://ojj.endesa-clientes .com
hxxp://wtde.endesa-clientes. com
hxxp://y2l6.endesa-clientes. com
hxxp://ideamix-yar. ru
hxxp://rogaska-crystal. com
hxxp://itlearning. ma
hxxp://nrmac. org
hxxp://craferscottages. com. au
hxxp://sigortaci .net
hxxp://quality-managers. org
hxxp://tendearteplast. com
hxxp://gettingmarried .ie
hxxp://tl6q.procura-italia. net
hxxp://qln.myenel24. net
hxxp://qln.myenel24. org
hxxp://swisshalley-sale. ru
hxxp://alianzasdeaprendizajo. org
hxxp://heroes-of-the-middle-ages. ru
hxxp://y2l6.endesa-clientes. com
hxxp://securitysolutionshow. it 
hxxp://gov.endesa-clientes.com
hxxp://asge .ru
hxxp://autotranz.com. au
hxxp://clubyar .ru
hxxp://discoalcala. es
hxxp://ecoland. pro
hxxp://ensarkarot. com
hxxp://faam. com
hxxp://hapcanny. com
hxxp://hogaresherso. mx
hxxp://houseofcolours.co. uk
hxxp://injazattrading. com
hxxp://ipecho. net
hxxp://j25.dis-odense. dk
hxxp://joelmeble. pl
hxxp://juventudrevolucion. net
hxxp://klimat24. com
hxxp://mate. ma
hxxp://minicars. nl
hxxp://myenel24. net
hxxp://myenel24. org
hxxp://online-kotel. ru
hxxp://ovidiuanton. com
hxxp://p1v.endesa-clientes24. com
hxxp://p1v.endesa-clientes24. net
hxxp://procura-italia. net
hxxp://salzburg-web. com
hxxp://ubk-markets. ru
hxxp://ultimchem. com
hxxp://urojay31. ru
hxxp://volunteerabroadnicaragua. com
hxxp://waresme. com
hxxp://zagool. se
hxxp://gbfjetobtqi.billmassanger.com
hxxp://ezum.billmassanger.com
hxxp://de2nuvwegoo32oqv.torking.li
hxxp://ifapeqoj.billmassanger.com


Algunos hashes detectados con esta campaña de distribución de malware son los siguientes:

c6a4d3d3ea72fa27b0a568e2c07a32fc
2dfbd71991fd06b36148fe06539df3f0
ec11c3a1be57b62e7fbede4b01b79836
945fbb95784d1ae9760fbe7099f93468
e553b8ccc10890e1e64ad816cbdbc925
a83ddf5fd7db13627674b5701c8fc07e


Por último, y no menos importante, se debe mantener actualizado el equipo del usuario así como las bases de datos de los antivirus.

Fuente: CSIRT-CV
Tags: ransomware

Añadir nuevo comentario