Durante los primeros meses de 2016, fuimos testigos de la irrupción de Petya: un ransomware que se instalaba en el sector de arranque de los discos duros que infectaba para después cifrarlos por completo. Este malware venía a engrosar las listas de los ransomwares criptográficos, de los que Cryptolocker es uno de sus ejemplos más típicos.
Gracias a ZDNet hemos conocido la existencia de GoldenEye, un sucesor de Petya que funciona de la misma manera, con un objetivo y una forma de ataque muy curiosos: los departamentos de recursos humanos de las empresas. Intenta entrar en los ordenadores de quienes se encargan de la selección de personal a través de correos electrónicos con archivos adjuntos que intentan hacerse pasar por peticiones de empleo legítimas.
Los investigadores de seguridad de la firma Check Point han estado monitorizando su campaña de expansión, en la que se ha intentado entregar malware a objetivos basados en Alemania a través del método de ataque que acabamos de describir.
Así funciona una infección con GoldenEye
Cuando GoldenEye intenta entrar en un ordenador lo hace usando dos archivos. El primero de ellos es un PDF que no contiene software malicioso, pero que está dirigido a intentar que el objetivo piense que se trata de una petición de empleo estándar. El segundo es un archivo de Excel que supuestamente contiene un formulario con una solicitud de empleo.
En este archivo excel es donde se oculta el malware. Cuando el objetivo lo abre se le presenta un documento que dice estar “cargando”, y que solicita que se habiliten los macros para abrirse. Cuando se hace esto, se ejecuta un código que empieza a cifrar los archivos del ordenador antes de presentar la nota que encabeza estas líneas.
Para librarse de la lacra de GoldenEye hay que pagar 1,3 bitcoins, lo que al cambio son más de 950 euros. En la nota de rescate se detalla a la víctima cómo puede comprar bitcoins en la dark web e incluso se le ofrece intercambiar mensajes con un administrador del malware si tienen problemas con el pago o el proceso de descifrado.
Una forma de evitar que los usuarios se infecten con este ransomware pasa por no habilitar los macros en documentos de Microsoft Office, y usar el sentido común cuando reciban algún correo electrónico inesperado o que sea excesivamente genérico. Otra opción pasa por usar un antiransomware como RansomFree.
Fuente:https://www.genbeta.com
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad