Las empresas de correo postal suelen estar siempre entre las más suplantadas por los cibercriminales; y, de acuerdo a una última investigación de amenazas de Proofpoint, la británica Royal Mail ha sido recientemente utilizada de esta manera para distribuir el ransomware Prince, una variante disponible gratuitamente en GitHub y diseñada con fines educativos. Esta campaña maliciosa se dirigió a personas en Reino Unido y Estados Unidos, afectando finalmente a un bajo volumen de organizaciones. En la mayoría de los casos, los mensajes parecían originarse a través de formularios de contacto publicados en las páginas web de las empresas objetivo, indicando así que el agresor no se dirigía exclusivamente a las organizaciones por correo electrónico.
El envío de malware a través de formularios de contacto es una técnica que ya ha sido empleada por ciberdelincuentes, como el grupo TA578, con contenido relacionado con quejas para atacar a organizaciones de todo el mundo. “Independientemente de si el mensaje procede de un formulario de contacto o de un correo electrónico directo, si el remitente emplea dominios gratuitos de correo se debería sospechar inmediatamente. Las organizaciones deben formar a los usuarios para que reconozcan estas tácticas y las comuniquen a los equipos de seguridad internos cuando las detecten”, insiste el equipo de investigación de Proofpoint.
Según los investigadores de Proofpoint, la nota de rescate indicaba que unos archivos habían sido filtrados y que se descifrarían automáticamente si se pagaba 0,007 Bitcoins (unos 437 euros) a un monedero específico; sin embargo, no existiría tal posibilidad al no tener forma el ciberdelincuente de identificar qué víctimas habían pagado; tampoco habría identificadores únicos entre los cifrados ni ningún contacto o instrucciones para solicitar el descifrado de los archivos; así como ningún código de la cadena de detonación que fuera capaz de filtrar datos.
“Desde Proofpoint, no atribuimos esta actividad a un grupo de ciberdelincuencia rastreado. Dado que el ransomware está disponible abiertamente en GitHub, puede ser utilizado y modificado por varios atacantes. El creador del ransomware Prince, SecDbg, afirma que puede eludir Windows Defender con modificaciones de su código que no figuran en GitHub, pidiendo al interesado en contactar mediante Telegram para ofrecer customizaciones previo pago”, insisten los expertos de ciberseguridad.
No obstante, la falta de un enlace para determinar qué usuario ha pagado para descifrar sus archivos y qué ordenador infectado pertenece al usuario que ha accedido al rescate, junto con la ausencia de instrucciones de comunicación, hace que se trate de un ataque destructivo distribuido por ciberdelincuentes que probablemente no tengan intención de descifrar ningún archivo, aunque la víctima haya pagado. “No está claro si se trata de un error del propio atacante, o si el ataque fue diseñado para ser destructivo”, concluyen desde Proofpoint.
Más información: https://www.proofpoint.com/us/blog/threat-insight/security-brief-royal-mail-lures-deliver-open-source-prince-ransomware