Se ha detectado, desde el Security Cyberoperations Center de Telefónica, un fuerte incremento de los ataques dirigidos a empresas utilizando el correo electrónico. El contenido malicioso de estos ataques es, cómo no, Ransomware.
El mecanismo es similar en todos los casos: se recibe, en varias de las direcciones de correo electrónico de la empresa, un correo electrónico con asuntos que en muchos casos tienen que ver con la actividad concreta de la empresa, un cuerpo de mensaje bastante bien diseñado, en español o en inglés, y en todos los casos, un adjunto que puede ser de diversos tipos: PDF, DOC, XLS... El contenido de estos adjuntos siempre es malicioso y tiene como objeto descargar un programa de Ransomware, ejecutarlo en el equipo y bloquearlo, para posteriormente solicitar un rescate económico.
Hay varias características en esta nueva oleada de ataques que recomiendan estar alerta:
- El ataque se envía desde direcciones reales registradas en servicios de correo habituales, como Gmail.
- Los correos están escritos en un castellano o inglés bastante correcto, y con una maquetación bastante buena.
- El contenido incluye ganchos bastante realistas, que en muchos casos tienen relación con la actividad de la empresa: facturas pendientes, pagos recibidos, información de proyectos supuestamente relacionados con la empresa, recepción de un paquete de mensajería, etc...
- Los destinatarios son direcciones reales de la empresa, suelen recibirse los mismos correos en varios buzones distintos de la misma empresa.
- Cambian rápidamente: cada día crean un nuevo gancho, con nueva maquetación y con una versión distinta del Ransomware, y lo envían a diversas direcciones de la empresa.
Dadas las características de estos ataques por oleadas, los sistemas de filtrado de correo habituales no siempre son capaces de detectarlos y bloquearlos. La rapidez con la que mutan los ataques, con nuevas versiones cada día, y empleando direcciones de correo válidas y envíos de volumen reducido, hacen que los motores antispam no los detecten. Tampoco los motores antimalware basados en firmas que incorporan estos servicios de filtrado son capaces de detectar estas amenazas zero-day, especialmente cuando todavía no ha sido identificado el ataque e incorporado a los ficheros de firmas.
Además de las recomendaciones habituales (extremar la prudencia y no abrir ningún correo electrónico de fuentes desconocidas, especialmente si lleva adjuntos que no estás esperando), se recomienda especialmente la contratación de algún sistema avanzado de protección del correo electrónico. Telefónica ofrece a las empresas, el servicio Tráfico Limpio de Correo, con Protección contra amenazas avanzadas (ATP en sus siglas en inglés) que incorpora motores avanzados, capaces de detectar estos ataques. Se basa en tecnología de sandboxing de última generación que evita las técnicas evasivas habituales en los ataques con Ransomware, y con inspección de código a bajo nivel.
Si necesitas más información, no dudes en ponerte en contacto con nosotros o con tu comercial ¡y te ayudaremos!
