Hace dos días que están llegando correos
malspam (spam maliciosos) durante horario laboral a las direcciones de los empleados de varias organizaciones. Esta es una campaña de ataque orientada a propagar distintas muestras del troyano tipo
ransomware CTBLocker.
Algo que hace impracticable un ajuste sencillo del filtrado
spam es que todos los correos son distintos. Tanto remitente, asunto, cuerpo, servidor de origen y el archivo adjunto malicioso.
 |
| Todos los MalSpam de la campaña son distintos |
Los archivos adjuntos que traen estos correos también tienen todos distinto nombre.
 |
| Cada adjunto con distinto nombre |
|
Estos archivos se caracterizan por ser siempre un ZIP que dentro contiene un archivo CAB que a su vez contiene un archivo ejecutable SCR. En definitiva es este último el cual es la carga maliciosa. Parecería tratarse en principio de un
Downloader o Troyano.
 |
| Detalle de un malspam, su adjunto y baja detección VirusTotal.com |
Como sucede con campañas de ataque bien preparadas, estos archivos no son prácticamente detectados por ningún antivirus, o apenas muy pocos. Solo después de un día quizás lo detectan un poco más del 30% de los AV. Al menos dentro de lo que se puede analizar en VirusTotal.
No fue hasta después de completada la jornada de ayer que una mayor cantidad de detecciones sobre las primeras muestras indicaron que podría tratarse de un
Downloader que descarga
Ransomware en particular quizás una variante de
CTBlocker según se deduce por las
detecciones de
algunos pocos antivirus que así lo clasifican (McAfee, Panda, ViRobot) en distintas muestras enviadas.
Luego de la infección, este troyano cifra todos los archivos de datos del disco, sin posibilidad de recuperación.
También en España dan cuenta que la campaña de malspam trae un
downloader que descarga
CTBlocker tal como comentan
aquí y
aquí.
Medidas de prevención
- Bloquear ingreso de adjuntos ejecutables: en las organizaciones recomendamos el bloqueo de adjuntos ejecutable. Si bien esto puede no se factible es una muy buena prevención general realizada en el gateway de correo o servidor antispam. De tal forma se previene el ingreso de cualquier adjunto malicioso.
- Mantener respaldos actualizados y fuera de línea: no solo para esta amenaza es necesario mantener respaldo/backup de todos los archivos de trabajo. Y en particular para estas amenazas que dichos respaldos no estén en linea permanentemente sino solo cuando se realizan.
- Aconsejar a usuarios prácticas seguras: trabajar activamente con los usuarios recomendando no abrir ni descargar adjuntos o enlaces en correos, tanto sea de la organización como en el correo personal vía web.
- Mantener actualizado el antivirus y advertir sobre la escasa efectividad que tiene para la detección temprana de variantes nuevas de malware y por ello la necesidad de la colaboración activa de cada usuario.
Y para remediaciones se pueden ver todo lo recomendado en nuestras guías:
Raúl de la Redacción de Segu-Info
Cristian: ayer utilice un pequeño programa denominado ShadowExplorer que recupera los archivos afectados por CTBLocker y funciona.
ResponderBorrarhay que tener mucho cuidado en dar falsas expectativas a usuarios que, por el otro lado, ni saben qupe hacer ni tienen a quien acudir
ResponderBorrarhay que tener mucho cuidado en dar falsas expectativas a usuarios que, por el otro lado, ni saben qupe hacer ni tienen a quien acudir
ResponderBorrar