Netwalker Ransomware infectando a los usuarios a través del phishing de coronavirus

image1280×450 185 KB

Como si la gente no tuviera suficiente de qué preocuparse, los atacantes ahora los están atacando con correos electrónicos de phishing de Coronavirus (COVID-19) que instalan ransomware.

Si bien no tenemos acceso al correo electrónico de phishing real que se envía, MalwareHunterTeam pudo encontrar un archivo adjunto utilizado en una nueva campaña de phishing de Coronavirus que instala el Netwalker Ransomware.

Netwalker es un ransomware anteriormente llamado Mailto que se ha vuelto activo recientemente cuando se dirige a las empresas y agencias gubernamentales. Dos ataques ampliamente reportados relacionados con Netwalker son los del Grupo de Peaje y el Distrito de Salud Pública de Champaign Urbana (CHUPD) en Illinois.

La nueva campaña de phishing de Netwalker está utilizando un archivo adjunto llamado " CORONAVIRUS_COVID-19.vbs " que contiene un código ejecutable de Netwalker Ransomware incrustado y un código ofuscado para extraerlo e iniciarlo en la computadora.

Cuando se ejecuta el script, el ejecutable se guardará en % Temp% \ qeSw.exe y se iniciará.

image974×454 39.8 KB

Una vez ejecutado, el ransomware cifrará los archivos en la computadora y agregará una extensión aleatoria a los nombres de los archivos cifrados.

De particular interés, el Director de SentinelLabs, Vitali Kremez, le dijo a BleepingComputer que esta versión del ransomware específicamente evita la terminación del cliente de protección de punto final Fortinet.

Cuando se les preguntó por qué harían eso, Kremez dijo que podría ser para evitar la detección.

“Supongo que podría deberse a que ya han deshabilitado la funcionalidad antivirus directamente desde el panel de administración del cliente; sin embargo, no quieren disparar una alarma al dar de baja a los clientes”, dijo Kremez a BleepingComputer.

Cuando termine, las víctimas encontrarán una nota de rescate llamada [extensión] -Readme.txt que contiene instrucciones sobre cómo acceder al sitio de pago Tor del ransomware para pagar la demanda de rescate.

Desafortunadamente, en este momento no se conoce ninguna debilidad en el ransomware que permita a las víctimas descifrar sus archivos de forma gratuita.

En cambio, las víctimas deberán restaurar desde la copia de seguridad o volver a crear los archivos que faltan.

Los ataques de coronavirus se han vuelto comunes

Debido a la actual pandemia de Coronavirus, los actores de amenazas han comenzado a utilizar activamente el brote como tema para sus campañas de phishing y malware .

Hemos visto al troyano TrickBot usando texto de noticias relacionadas con Coronavirus para evadir la detección, un ransomware llamado CoronaVirus , el malware FormBook que roba datos y se propagó a través de campañas de phishing e incluso una campaña de extorsión de correo electrónico que amenaza con infectar a su familia con Coronavirus .

Esto ha llevado a la Agencia de Seguridad de la Ciberseguridad e Infraestructura de los Estados Unidos (CISA) a emitir advertencias sobre el aumento de las estafas temáticas de Coronavirus y a la Organización Mundial de la Salud (OMS) a emitir advertencias de estafas de suplantación de identidad que se hacen pasar por su organización .

Como los actores de amenazas suelen aprovechar los temas que propagan la ansiedad y el miedo, todos deben ser más diligentes que nunca contra los correos electrónicos sospechosos y la promoción de programas de fuentes desconocidas.

Los malos no paran…

Saludos.

Los autores querían secuestrar la información colándose en correos electrónicos enviados a sanitarios y pedir un rescate para recuperarla

Por si los hospitales españoles no tuvieran bastante con el coronavirus, un nuevo virus, ahora informático, ha irrumpido en escena. Lo detectó la Policía Nacional tratando de colarse como información adjunta en correos de sanitarios. Disfrazado de “información sobre la Covid-19”, pretendía “romper” el sistema informático de los centros médicos en plena crisis sanitaria. Se llama Netwalker, y es un ransomware [secuestrador de datos]. Los expertos recomiendan al personal médico no abrir ningún correo sospechoso.

TEXTO: El mecanismo de este tipo de virus “que suelen provenir en un 99% de países del Este de Europa”, según explican investigadores especializados en delitos telemáticos, consiste en “corromper” la información –“en este caso la de los hospitales en lugar de empresas o bancos”–, y solicitar un rescate para recuperarla. “Si no pagan, no la devuelven”, aseguran.

La Policía Nacional detectó este domingo un intento de bloquear los ordenadores de los hospitales españoles mediante el envío al personal sanitario de correos electrónicos con un virus “muy peligroso” con el señuelo de contener información sobre la Covid-19, según informó este lunes el director adjunto operativo del cuerpo, el comisario principal José Ángel González. Por eso instó a los trabajadores de la sanidad a no abrir los correos electrónicos sospechosos para evitar posibles daños. “La mejor protección es la prevención”, dijo.

La principal característica de Netwalker, detallan fuentes policiales, es que introduce un código malicioso en el explorador del sistema informático para que los antivirus sean incapaces de detectarlo y eliminarlo. Y “aunque en España aún no se ha producido una distribución masiva, las consecuencias de un ataque exitoso con ransomware , que inutilizara los sistemas informáticos de un centro hospitalario, tendría consecuencias devastadoras”, señalan fuentes policiales.

El nombre del documento adjunto en los correos que esconden el malware [programa maligno] es CORONAVIRUS_COVID-19.vbs. Cuando algún receptor clica en el documento se ejecuta y el malware encripta los archivos : “Hey! Tus documentos han sido encriptados por Netwalker”, se anuncia. Y prosigue con las instrucciones para realizar el pago en la dark web , o la Internet profunda y desregulada.

Además de ser tremendamente desafortunado por la situación crítica mundial, el ciberataque es inesperado. Algunas bandas criminales dedicadas al secuestro de datos anunciaron hace días que iban a dejar a los centros sanitarios fuera de sus objetivos. El grupo Netwalker no es uno de ellos. La atención a otros problemas hace que sea un buen momento para atacar para estos grupos.

El 12 de marzo hubo un ataque contra una organización sanitaria en Illinois (Estados Unidos), Champaign Urbana Public Health District, que les bloqueó la página web y debieron crear una alternativa. Este ransomware fue encontrado también en febrero en un ciberataque contra Toll Group, una empresa australiana de logística.

Los sanitarios no son las únicas víctimas de la actuación de los ciberdelincuentes que se están aprovechando de la situación creada por la pandemia de la Covid-19. González también ha advertido de otros correos enviados a la población que tienen como finalidad “infectar nuestro ordenador y tener acceso a todas nuestras claves e información personal”. De hecho, los últimos informes del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC, dependiente del Ministerio del Interior) alertan sobre una quincena de ciberestafas perpetradas con el señuelo del coronavirus, según adelantó este lunes EL PAÍS. En ellas se ha utilizado software malicioso difundido a través de aplicaciones y web que atraen a las víctimas con información para identificar síntomas o mapas de la pandemia. Su objetivo es robar, pero algunos añaden la peligrosidad de ofrecer falsos diagnósticos de la enfermedad.

Este lunes, el comisario también ha pedido a la ciudadanía que tenga cuidado con los más de 200 bulos y falsas noticias detectados con la única intención de provocar miedo y pánico. Entre ellos, ha destacado dos: un audio que alertaba de una inminente declaración del estado de sitio y aconsejaba a hacer compras masivas en supermercados, y otro de un motín en una cárcel española con un vídeo de una prisión italiana de la semana pasada. “La gente ahora tiene mucho tiempo. Hay gente que se dedica a distraerse, pero hay mucha gente que se dedica a crear estos bulos”, ha dicho González.

Además de la Policía, la Guardia Civil también está sumando esfuerzos para garantizar la ciberseguridad durante la crisis. El director adjunto operativo del cuerpo, Laurentino Ceña, ha recordado en la misma rueda de prensa que el instituto armado hace seguimiento de las redes sociales para velar por su “seguridad” y ha destacado que es “muy importante” que cualquier institución que crea estar sufriendo un ataque informático lo comunique “lo antes posible” para tomar medidas.