CSIRT-CV - Hemeroteca

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

31/05/2016

Alerta: Nueva campaña de ransomware suplantando a Endesa

Se ha detectado una nueva campaña de distribución de ransomware que utiliza como gancho una supuesta factura emitida por Endesa. Se recomienda extremar precauciones al respecto.

Nos encontramos ante una nueva variante de ransomware de tipo TorrentLocker, un software malicioso que al infectar nuestro equipo le da al ciberdelincuente la capacidad de bloquear el equipo desde una ubicación remota y cifrar nuestros archivos quitándonos el control de toda la información y datos almacenados.

Además, exigen un pago para devolver el control. Los archivos son irrecuperables a menos que la organización afectada haga copias de seguridad y que estos datos no hayan sido afectados por el ransomware. La vía de infección suele ser el correo electrónico simulando ser una factura de Endesa con un enlace que descarga el malware desde una ubicación remota. Se ha detectado que el ransomware contacta con distintos dominios para comunicarse por lo que os recomendamos su filtrado para evitar posibles conexiones

Un ejemplo del correo electrónico malicioso recibido sería el siguiente:

Con el fin de reducir el riesgo de ser infectados con el Ransomware se deben realizar, en la medida de lo posible, las siguientes acciones:

Extremar las precauciones y, en caso de recibir un correo de origen sospechoso, lo notifiquen al administrador de seguridad del sistema o no lo abran
Bloquear en el proxy de su organización los dominios que se han detectado y están involucrados en la campaña. Hasta ahora hemos detectado los siguientes aunque estan activos durante muy poco tiempo y van cambiando constantemente:

hxxp://endesa-clientes .com

hxxp://yamg.endesa-clientes .com

hxxp://www.endesa-clientes. net

hxxp://ojj.endesa-clientes .com

hxxp://wtde.endesa-clientes. com

hxxp://y2l6.endesa-clientes. com

hxxp://ideamix-yar. ru

hxxp://rogaska-crystal. com

hxxp://itlearning. ma

hxxp://nrmac. org

hxxp://craferscottages. com. au

hxxp://sigortaci .net

hxxp://quality-managers. org

hxxp://tendearteplast. com

hxxp://gettingmarried .ie

hxxp://tl6q.procura-italia. net

hxxp://qln.myenel24. net

hxxp://qln.myenel24. org

hxxp://swisshalley-sale. ru

hxxp://alianzasdeaprendizajo. org

hxxp://heroes-of-the-middle-ages. ru

hxxp://y2l6.endesa-clientes. com

hxxp://securitysolutionshow. it

hxxp://gov.endesa-clientes.com

hxxp://asge .ru

hxxp://autotranz.com. au

hxxp://clubyar .ru

hxxp://discoalcala. es

hxxp://ecoland. pro

hxxp://ensarkarot. com

hxxp://faam. com

hxxp://hapcanny. com

hxxp://hogaresherso. mx

hxxp://houseofcolours.co. uk

hxxp://injazattrading. com

hxxp://ipecho. net

hxxp://j25.dis-odense. dk

hxxp://joelmeble. pl

hxxp://juventudrevolucion. net

hxxp://klimat24. com

hxxp://mate. ma

hxxp://minicars. nl

hxxp://myenel24. net

hxxp://myenel24. org

hxxp://online-kotel. ru

hxxp://ovidiuanton. com

hxxp://p1v.endesa-clientes24. com

hxxp://p1v.endesa-clientes24. net

hxxp://procura-italia. net

hxxp://salzburg-web. com

hxxp://ubk-markets. ru

hxxp://ultimchem. com

hxxp://urojay31. ru

hxxp://volunteerabroadnicaragua. com

hxxp://waresme. com

hxxp://zagool. se

hxxp://gbfjetobtqi.billmassanger.com

hxxp://ezum.billmassanger.com

hxxp://de2nuvwegoo32oqv.torking.li

hxxp://ifapeqoj.billmassanger.com

Algunos hashes detectados con esta campaña de distribución de malware son los siguientes:

c6a4d3d3ea72fa27b0a568e2c07a32fc

2dfbd71991fd06b36148fe06539df3f0

ec11c3a1be57b62e7fbede4b01b79836

945fbb95784d1ae9760fbe7099f93468

e553b8ccc10890e1e64ad816cbdbc925

a83ddf5fd7db13627674b5701c8fc07e

Por último, y no menos importante, se debe mantener actualizado el equipo del usuario así como las bases de datos de los antivirus.

Fuente: CSIRT-CV

CSIRT-CV