Cabecera-v2-web.jpg

Campaña de distribución de ransomware Zepto a través de Email Spoofing


En los últimos dí­as se ha observado una campaña de distribución de una variante de ransomware llamada Zepto, a través de correos electrónicos maliciosos, que está afectando mayormente a nuestro paí­s. Se trata de una variante del ransomware Locky, cuya proliferación se observó en el paí­s en el mes de marzo.

Si bien, el Ransomware se puede transmitir de diversas formas, en este caso hemos observado una campaña de distribución especí­fica a través de correo electrónico, utilizando servidores de correo con una configuración poco segura, los cuales permiten enviar correos falsos a los usuarios locales, de forma no autenticada.

En la mayorí­a de los software de correo, por defecto, cuando se establece una conexión SMTP con el servidor de correo y se declara un remitente local, aunque fuera falsificado, el correo podrá ser enviado a los usuarios locales, sin requerir autenticación. Esto permite a un atacante enviar correos maliciosos, simulando un remitente de confianza del propio dominio. Por ejemplo, un usuario victima@dominio.com recibe un correo falsificado desde confiable@dominio.com. Tratándose de un supuesto usuario del propio dominio, la ví­ctima tendrá una mayor confianza. Además, en algunas configuraciones, el filtro antispam no analiza estos correos, por ser entregados de forma local.


En esta campaña de distribución de ransomware, se observó que los delincuentes utilizaron esto para enviar correo maliciosos que contienen un archivo adjunto en formato .docm (documento de Microsoft Word con Macros). Al ser abierto, se ejecuta el macro y se descarga y ejecuta automáticamente el ransomware Zepto. La máquina queda infectada y los archivos que se encuentran en dicha máquina quedan automáticamente encriptados. Además, puede cifrar los archivos de aquellos directorios compartidos en red a los que el equipo tiene acceso, afectando así­ a un amplio número de usuarios.

Luego de encriptar todos los archivos, el ransomware se elimina a sí­ mismo del equipo infectado y despliega una alerta en pantalla, alertando que los todos sus archivos se han cifrado y mostrando en pantalla las instrucciones para pagar el rescate y recuperar los archivos. El rescate exigido es 0.5 Bitcoins, aproximadamente 300 US$.


Zepto también intenta borrar todas las instantáneas de recuperación (Shadow Volume Copies) en la máquina infectada, de manera que no se pueden utilizar para restaurar los archivos de la ví­ctima.

Hasta el momento no existen mecanismos para desencriptar los archivos sin la clave que está en poder de los atacantes. Es por esto que las acciones preventivas son fundamentales:

  • No abrir nunca correos sospechosos, tanto si vienen de usuarios conocidos como desconocidos. Asegurarse siempre de que la persona que le ha enviado el correo realmente le querí­a remitir ese adjunto.
  • Evitar abrir los archivos adjuntos sospechosos. Incluso los archivos aparentemente inofensivos, como los documentos de Microsoft Word o Excel, pueden contener un virus, por lo que es mejor ser precavido.
  • No ingresar a enlaces dudosos que le son enviados a través de correo electrónico, servicios de mensajerí­a, redes sociales, etc.
  • Realizar copias de seguridad (backup) de toda la información crí­tica para limitar el impacto de la pérdida de datos o del sistema y para facilitar el proceso de recuperación.
  • Idealmente, estos datos se debe mantener en un dispositivo independiente, y las copias de seguridad se deben almacenar offline.
  • Contar con soluciones de antivirus/firewall y mantenerlo actualizado, de modo a prevenir la infección.
  • Mantener su sistema operativo y el software siempre actualizado, con los últimos parches.
  • No acceder nunca a ningún pago u acción exigida por el atacante.

Teniendo en cuenta que estos correos maliciosos son enviados explotando una configuración débil de muchos servidores de correo, se recomienda corregir esta configuración, de modo a evitar que correos falsificados del propio dominio puedan ser enviados a los usuarios locales. Además, es importante contar con software antivirus y antispam en su servidor de correo, y asegurarse de que los mismos tengan activados SPF (Sender Policy Framework).

En caso de recibir un correo electrónico con las caracterí­sticas mencionadas en este boletí­n, recomendamos no abrirlo y dar aviso a un responsable de su organización.

En caso de ví­ctima de ransomware se recomienda realizar la denuncia a los organismos correspondientes; puede reportarlo al Centro de respuestas ante Incidentes Cibernéticos (CERT-PY).


Información adicional:

https://cert.gov.py/application/files/4714/7102...


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11