Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Nueva campaña de Ransomware suplantando factura de Endesa




Se ha detectado una nueva campaña de distribución de ransomware que utiliza como gancho una supuesta factura emitida por Endesa. Después de la famosa carta certificada de Correos, llega ahora en versión factura de Endesa. Se recomienda extremar precauciones para evitar que un ransomware cifre nuestros ficheros . Nos encontramos ante una nueva variante de ransomware de tipo TorrentLocker, un software malicioso que al infectar nuestro equipo le da al ciberdelincuente la capacidad de bloquear el equipo desde una ubicación remota y cifrar nuestros archivos quitándonos el control de toda la información y datos almacenados.



Además, exigen un pago para devolver el control. Los archivos son irrecuperables a menos que la organización afectada haga copias de seguridad y que estos datos no hayan sido afectados por el ransomware. La vía de infección suele ser el correo electrónico simulando ser una factura de Endesa con un enlace que descarga el malware desde una ubicación remota. Se ha detectado que el ransomware contacta con distintos dominios para comunicarse por lo que recomendamos su filtrado para evitar posibles conexiones. Los archivos quedan cifrados con la extensión .encrypted

La parte interesante de esta nueva campaña ransomware es que la mayoría de los dominios que albergan los scripts maliciosos se basan en el popular CMS Joomla.  Sobre la base de los sitios compromisos, parece que esta campaña está aprovechando la vulnerabilidad crítica CVE-2015-8562.

Es importante aclarar que se trata de una suplantación que utiliza la imagen de la empresa para cometer el fraude y, en ningún caso, afecta a la seguridad de los servicios de la entidad.



Los correos electrónicos detectados tienen como remitente a «Factura electrónica de Endesa» y en el asunto para dar más credibilidad al correo comienza con el nombre y apellidos asociados a la cuenta de correo del destinatario seguido de “Factura” y unos caracteres alfanuméricos generados aleatoriamente, como por ejemplo «Nombre Apellidos Factura WYS2414BA7775376».

Un ejemplo del correo electrónico malicioso recibido sería el siguiente:



El correo tiene un enlace con el literal “Consulta tu factura y consumo” que al acceder a él redirige a una página en la que tras unos segundos de espera se descarga de un fichero zi (comprimido) llamado ENDESA_FACTURA.ZIP

Dentro hay un fichero  de extensión JS (JavaScript) con el código malicioso ofuscado utilizando técnicas habituales usando funciones como eval(), charAt(), charCodeAt(), fromCharCode():

ENDESA_FACTURA.js
Que descarga y ejecuta el EXE

Ejemplos:

hxxp;/ mobilegallery.in/1.exe
hxx:;//luxury-bond.com/1.exe

Según se puede ver en los análisis, el ransomware elimina todas las copias de volumen del sistema  (copias instantáneas del sistema (Shadow Copy) mediante la ejecución del comando: "vssadmin.exe Delete Shadows /All /Quiet"

Contramedidas: Desactivar Windows Script Host

Una solución para no quedar infectado es no poder ejecutar ficheros JS potencialmente peligrosos. Archivo de secuencia de Comandos de Jscript, wscript.exe

Dado que el script hace uso de Windows Script Host (WSH) para interpretar y ejecutar JScript (archivos .JS) y VBScript (archivos .VBS y .VBE) se puede deshabilitar:

Registro de Windows: el valor DWORD llamado Enabled

Valor  0 para deshabilitar wsh (valor 1 para habilitar wsh)


  • Valor 1 activará Windows Script Host
  • Vallor 0 desactivará Windows Script Host.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings\Enabled

O ejecutando el siguiente contenido dentro de un fichero.bat:

REG ADD "HKCU\Software\Microsoft\Windows Script Host\Settings" /v Enabled /t REG_SZ /d 0

Tal y cómo explicamos aquí:

Con el fin de reducir el riesgo de ser infectados con el Ransomware se deben realizar, en la medida de lo posible, las siguientes acciones:
  • Extremar las precauciones y, en caso de recibir un correo de origen sospechoso, lo notifiquen al administrador de seguridad del sistema o no lo abran
  • Bloquear en el proxy de su organización los dominios que se han detectado y están involucrados en la campaña. Hasta ahora hemos detectado los siguientes aunque estan activos durante muy poco tiempo y van cambiando constantemente:
hxxp://endesa-clientes .com
hxxp://yamg.endesa-clientes .com
hxxp://www.endesa-clientes. net
hxxp://ojj.endesa-clientes .com
hxxp://wtde.endesa-clientes. com
hxxp://y2l6.endesa-clientes. com
hxxp://ideamix-yar. ru
hxxp://rogaska-crystal. com
hxxp://itlearning. ma
hxxp://nrmac. org
hxxp://craferscottages. com. au
hxxp://sigortaci .net
hxxp://quality-managers. org
hxxp://tendearteplast. com
hxxp://gettingmarried .ie
hxxp://reigjofre.com
hxxp://tl6q.procura-italia. net
hxxp://qln.myenel24. net
hxxp://qln.myenel24. org
hxxp://swisshalley-sale. ru
hxxp://alianzasdeaprendizajo. org
hxxp://heroes-of-the-middle-ages. ru
hxxp://y2l6.endesa-clientes. com
hxxp://securitysolutionshow. it 
hxxp://gov.endesa-clientes.com
hxxp://asge .ru
hxxp://autotranz.com. au
hxxp://clubyar .ru
hxxp://discoalcala. es
hxxp://ecoland. pro
hxxp://ensarkarot. com
hxxp://faam. com
hxxp://hapcanny. com
hxxp://hogaresherso. mx
hxxp://houseofcolours.co. uk
hxxp://injazattrading. com
hxxp://ipecho. net
hxxp://j25.dis-odense. dk
hxxp://joelmeble. pl
hxxp://juventudrevolucion. net
hxxp://klimat24. com
hxxp://mate. ma
hxxp://minicars. nl
hxxp://myenel24. net
hxxp://myenel24. org
hxxp://online-kotel. ru
hxxp://ovidiuanton. com
hxxp://p1v.endesa-clientes24. com
hxxp://p1v.endesa-clientes24. net
hxxp://procura-italia. net
hxxp://salzburg-web. com
hxxp://ubk-markets. ru
hxxp://ultimchem. com
hxxp://urojay31. ru
hxxp://volunteerabroadnicaragua. com
hxxp://waresme. com
hxxp://zagool. se
hxxp://gbfjetobtqi.billmassanger.com
hxxp://ezum.billmassanger.com
hxxp://de2nuvwegoo32oqv.torking.li
hxxp://ifapeqoj.billmassanger.com
Llama la atención el dominio "endesa-clientes.com" por su parecido con el dominio real endesaclientes.com, igual pero sin el guión, registrado justo el día 31 de Mayo de 2016.


Algunos hashes detectados con esta campaña de distribución de malware son los siguientes:
c6a4d3d3ea72fa27b0a568e2c07a32fc
2dfbd71991fd06b36148fe06539df3f0
ec11c3a1be57b62e7fbede4b01b79836
945fbb95784d1ae9760fbe7099f93468
e553b8ccc10890e1e64ad816cbdbc925
a83ddf5fd7db13627674b5701c8fc07e

La eléctrica ha advertido a sus clientes que se trata de un virus que bloquea los archivos personales de los usuarios de ordenadores y les pide que paguen un rescate para recuperarlos. 

Endesa ha detectado una campaña con el objetivo de infectar a sus clientes enviando -desde direcciones falsas muy similares a las que puede usar la eléctrica- una email con una falsa factura que, al intentar ver, descarga un virus en el ordenador del usuario.

El programa se distribuye por correo electrónico desde un supuesto correo de Endesa indicando que se trata de una factura eléctrica de importe elevado: cuando el usuario realiza click en el enlace para ver el detalle de la factura se descarga el virus, conocido como Ransomware Locky, en el equipo.





Estimado cliente:

Se ha detectado una campaña fraudulenta simulando avisos de factura de Endesa que invitan a descargarse la factura. Una vez abierto el mail, si haces "clic", enlazas a una página con código malicioso ("virus") que bloquea los archivos personales de los usuarios de ordenadores.

Desde Endesa te recomendamos no hacer clic en los enlaces de ningún eMail de factura que no cumpla que el remitente sea "Endesa Online" gestiononline@endesaonline.com.

Estamos realizando las acciones pertinentes contra estos ataques informáticos.
Te mantendremos informado de cualquier cambio relevante sobre este asunto.


Gracias por confiar en nosotros.

Equipo de Atención al Cliente.

Factura electrónica de Endesa

 La factura electrónica de Endesa es un opción que existe realmente y que ofrece la propia empresa.

La factura electrónica de Endesa recoge los mismos datos que la factura que recibes en papel, pero en un formato digital.

Con la factura electrónica de Endesa tendrás más ventajas:
  • Disponibilidad: Te enviamos un email en cuanto esté disponible tu factura y podrás consultarla en el momento.
  • Rapidez: Accede a tus facturas de forma rápida desde tu email.
  • Seguridad: La firma digital te garantiza la autenticidad del emisor y la integridad del contenido.
  • Organización: Puedes archivar todas las facturas en tu ordenador o consultarlas desde Mi Endesa.
  • Ahorro ecológico: Respeta el medio ambiente.
Con el servicio de facturación electrónica de Endesa, puedes consultar tu factura en cuanto esté disponible, ya que recibirás un aviso en tu correo electrónico informándote de la fecha, el importe y el enlace a tu factura.

Activar la factura electrónica es un servicio gratuito y muy sencillo. Puedes hacerlo desde tu área privada Mi Endesa desde la pestaña de Mis facturas y Mis contratos y lo puedes hacer para un solo contrato o para todos tus contratos.

Recuerda que una vez activada la factura electrónica, dejarás de recibir tus facturas en papel. No obstante, podrás volver a la factura en papel si lo deseas (excepto si tienes contratado algún producto ONE).


Fuentes:
http://www.csirtcv.gva.es/es/noticias/alerta-nueva-campa%C3%B1a-de-ransomware-suplantando-endesa.html
http://blog.emiliocasbas.net/2016/05/massive-ransomware-campaign-of.html
https://www.osi.es/es/actualidad/avisos/2016/05/falsa-factura-electronica-de-endesa-intenta-infectar-tu-equipo.html
Lista de correo de la RootedCON 

19 comentarios :

Joaquín Muruais dijo...

Muchas gracias por escribir todo esto. Ya he visto un par de pequeñas empresas afectadas, y es una jodienda de cuidado...

Emilia dijo...

Nos ha pasado anoche... Pero coincide que el mes pasado hemos dado de alta en un local Endesa, entonces creo que no es casualidad. Estarán metidos en la base de datos de Endesa y todo lo que sean empresas y se han dado de alta recientemente te lo mandan, así que yo creo que Endesa es culpable porque no tiene muy buena seguridad de datos. Nos ha fastidiado muy bien ya que estamos con un juicio y toda la información estaba en el portátil....así que están jugando con las vidas de las personas y no entiendo como no se puede hacer nada.Desde luego sería lo suyo reclamarle daños y perjuicios a Endesa.

Angel Perez dijo...

Hay solución para desencriptar los archivos infectados?

Angel Perez dijo...

Por cierto, buenísima la información, como siempre!!

Unknown dijo...

Muy Veraz sta informacion. Yo recibieste mensaje y me alerto el elevado precio.
Saludos

Unknown dijo...

buenas tardes
yo se como desencriptar los archivos infectador por el virus endesa.
melchorgb7@gmail.com

el-brujo dijo...

Y si mi abuela tuviera ruedas, sería una bicicleta

Francisco Guzmán dijo...
Este comentario ha sido eliminado por el autor.
Francisco Guzmán dijo...

Si así es comparte con la comunidad.

Francisco Guzmán dijo...

Si así es comparte con la comunidad.

Unknown dijo...

En nuestra pyme entró ayer, encriptó los del equipo, y los del servidor departamental que tenía mapeado.
El equipo infectado está aislado de la red y será formateado de 0, y la información del servidor de datos restaurada de una copia de hace unos días.

Saben cómo puedo encontrar el virus en el ordenador infectado?, le estoy pasando el antivirus Microsoft Security Essentials pero no encuentra nada.
Y si lo formateo y reinstalo de 0, tengo la seguridad de que el virus no se reactive y vuelva a encriptar los datos?
En principio en los servidores no encuentro nada, una vez cambiados los ficheros encrypter por los de la copia.

Muchas gracias por la información

el-brujo dijo...

>Saben cómo puedo encontrar el virus en el ordenador infectado? --> técnicamente no es un virus, es un malware, porque no tiene capacidad para reproducirse. Simplemente se inicia un ejecutable al reiniciar Windows, pero si formateas y reinstalas Windows no se reactiva ni vuleve a cifrar nada.

De hecho no hace falta ni reinstalar Windows, basta con eliminar las entradas del registro de inicio (con autoruns, por ejemplo) y problema solucionado. No he visto, ni leído de ningún caso, ni variante, que el malware sea persistente o difícil de eliminar. Creo que ningún antivirus detecta versiones de malware que sean ransomware.

El servidor tampoco queda "infectado", basta con restaurar los ficheros cifrados y problema solucionado.

ac milton dijo...
Este comentario ha sido eliminado por el autor.
ac milton dijo...

Gracias por el buen articulo.
Por mi trabajo me he encontrado con varios casos de ransomware que han afectado a clientes particulares y de empresa. Alguno se han podido desencriptar, la mayoria no (cryptolocker).
Acabo de postear en el foro de FreeNAS como pude salvar los muebles gracias al rollback del sistema de archivos.
OJO: aqui no describo como desencriptar los archivos ya que no fue posible.
Por si sirve de ayuda.
Gracias y adelante con el buen trabajo.
https://forums.freenas.org/index.php?threads/freenas-vs-cryptolocker-caso-real.44351/

Unknown dijo...

y afecta a los móviles o solo a los oredenadores con sistema operativo WINDOWS?

Manolo Estevez dijo...

Solo afecta a los ordenadores con windows, y no a todos.

De hecho yo he realizado pruebas con varios equipos y no he sido capaz de infectarme.

Para que se te encripte el ordenador tiene que darse una serie de cirscunstancias :

* sistema operativo no actualizado
* antivirus no actualizado
* programas no actualizados : java, acrobat, office, flahsplayer ...

Con una sola de esas casuisticas algunos virus ya son capaces de hacer su trabajo.

SUERTE.

Afonso Maia dijo...

Muchas gracias por la rápida y útil contestación. Un saludo

Vicente Jiménez dijo...

Muy buena info el artículo... pero miren todavía siguen haciendo de las suyas http://globbsecurity.com/ataque-ransomware-metro-san-francisco-40189/ aunque tuvo su lado positivo

Daniela Delgado dijo...

He estado leyendo algunos de sus comentarios yo trabajo en CISET empresa de mantenimiento informático en el en que trabajamos con SOPHOS un antivirus para empresa o para particular que protege cualquier ordenador, móvil, etc, centrado principalmente en proteger contra RANSOMWARE.
Y actualmente el departamentode marketing ha iniciado una campaña promocional con unos descuentos increíbles, os dejo la información para que podáis echar un vistazo http://www.ciset.es/seguridad-informatica/sophos-intercept-x

Publicar un comentario en la entrada

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.