23 abr 2015

Campaña infecta con #Ransomware #CTBlocker

Hace dos días que están llegando correos malspam (spam maliciosos) durante horario laboral a las direcciones de los empleados de varias organizaciones. Esta es una campaña de ataque orientada a propagar distintas muestras del troyano tipo ransomware CTBLocker.

Algo que hace impracticable un ajuste sencillo del filtrado spam es que todos los correos son distintos. Tanto remitente, asunto, cuerpo, servidor de origen y el archivo adjunto malicioso.
Todos los MalSpam de la campaña son distintos
Los archivos adjuntos que traen estos correos también tienen todos distinto nombre.
Cada adjunto con distinto nombre
Estos archivos se caracterizan por ser siempre un ZIP que dentro contiene un archivo CAB que a su vez contiene un archivo ejecutable SCR. En definitiva es este último el cual es la carga maliciosa. Parecería tratarse en principio de un Downloader o Troyano.
Detalle de un malspam, su adjunto y baja detección VirusTotal.com
Como sucede con campañas de ataque bien preparadas, estos archivos no son prácticamente detectados por ningún antivirus, o apenas muy pocos. Solo después de un día quizás lo detectan un poco más del 30% de los AV. Al menos dentro de lo que se puede analizar en VirusTotal.

No fue hasta después de completada la jornada de ayer que una mayor cantidad de detecciones sobre las primeras muestras indicaron que podría tratarse de un Downloader que descarga Ransomware en particular quizás una variante de CTBlocker según se deduce por las detecciones de algunos pocos antivirus que así lo clasifican (McAfee, Panda, ViRobot) en distintas muestras enviadas. Luego de la infección, este troyano cifra todos los archivos de datos del disco, sin posibilidad de recuperación.

También en España dan cuenta que la campaña de malspam trae un downloader que descarga CTBlocker tal como comentan aquí y aquí.

Medidas de prevención

  • Bloquear ingreso de adjuntos ejecutables: en las organizaciones recomendamos el bloqueo de adjuntos ejecutable. Si bien esto puede no se factible es una muy buena prevención general realizada en el gateway de correo o servidor antispam. De tal forma se previene el ingreso de cualquier adjunto malicioso.
  • Mantener respaldos actualizados y fuera de línea: no solo para esta amenaza es necesario mantener respaldo/backup de todos los archivos de trabajo. Y en particular para estas amenazas que dichos respaldos no estén en linea permanentemente sino solo cuando se realizan.
  • Aconsejar a usuarios prácticas seguras: trabajar activamente con los usuarios recomendando no abrir ni descargar adjuntos o enlaces en correos, tanto sea de la organización como en el correo personal vía web.
  • Mantener actualizado el antivirus y advertir sobre la escasa efectividad que tiene para la detección temprana de variantes nuevas de malware y por ello la necesidad de la colaboración activa de cada usuario.
Y para remediaciones se pueden ver todo lo recomendado en nuestras guías:
Raúl de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

3 comentarios:

  1. Cristian: ayer utilice un pequeño programa denominado ShadowExplorer que recupera los archivos afectados por CTBLocker y funciona.

    ResponderBorrar
  2. hay que tener mucho cuidado en dar falsas expectativas a usuarios que, por el otro lado, ni saben qupe hacer ni tienen a quien acudir

    ResponderBorrar
  3. hay que tener mucho cuidado en dar falsas expectativas a usuarios que, por el otro lado, ni saben qupe hacer ni tienen a quien acudir

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!