ESET alerta de una campaña de spam que utiliza el ciberataque a Kaseya como gancho

El ataque de ramsonware REvil, perpetrado contra el software Kaseya VSA, ya demostró estos últimos días la importancia y el peligro de este tipo de amenazas dirigidas eminentemente a la cadena de suministro. Este ciberataque se aprovechó de una vulnerabilidad en el software previamente mencionado, y utilizado por miles de empresas a nivel global, para cifrar información de las mismas y pedir un rescate a cambio.

Los investigadores de ESET, compañía pionera en protección antivirus y experta en ciberseguridad, han estado recabando información durante los últimos días acerca de varias campañas de propagación de correos maliciosos que ha estado utilizando como gancho este reciente ciberataque para captar nuevas víctimas.

Según los datos obtenidos por la telemetría de ESET, en alguna de estas campañas España ha sido el país con una mayor tasa de detección de correos maliciosos con un 14.9% del total, frente a otros como Estados Unidos (12%), Canadá (9.2%), Turquía y Reino Unido (ambas con un 7.2%). El mayor número de muestras detectadas en estas campañas de correos maliciosos no tiene por qué coincidir con el número de víctimas afectadas por el ransomware REvil en cada país, pero resulta interesante comprobar cómo España ha estado a la cabeza a la hora de detectar algunas de las muestras relacionadas con este envío de correos.

Entre todas las muestras detectadas y analizadas durante los últimos días destacan las nombradas como Win32/Kryptik.HLPU y Win32/Rozena.AFJ, las cuales son responsables de buena parte de las detecciones y se comunican con el mismo centro de mando y control utilizado por los delincuentes.

Emails con falsas actualizaciones

Siguiendo con la investigación, ESET ha estado detectando durante la semana pasada numerosos correos electrónicos en los que se ofrecía una supuesta actualización para solucionar la vulnerabilidad que utilizaron los delincuentes para ejecutar el ransomware REvil y cifrar la información de alrededor de 1.500 empresas.

En estos correos se puede observar que, tanto en el asunto como en el cuerpo del mensaje, los delincuentes mencionan el reciente incidente de seguridad provocado por la vulnerabilidad en Kaseya VSA y proporcionan un enlace para descargar una supuesta actualización. El enlace parece ser correcto a primera vista, pero, en realidad, redirige al usuario a la descarga de Cobalt Strike, una herramienta legítima que se utiliza en tests de intrusión, pero que también es usada por los delincuentes para conseguir acceso remoto a sistemas comprometidos.

En palabras de Josep Albors, director de investigación y concienciación en ESET España, “resulta muy sencillo lanzar una campaña de correos de este estilo aprovechando un incidente de seguridad tan importante como el que vimos hace unos días con Kaseya VSA. Es bastante probable que algunos de los usuarios que reciban estos email caigan en la trampa si no se andan con cuidado a la hora de reconocer la procedencia del email, por lo que resulta indispensable contar con una solución de seguridad que sea capaz de identificar estas amenazas por si terminamos pulsando donde no debemos”.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .