Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1024
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
mayo
(Total:
22
)
- Nueva campaña de Ransomware suplantando factura de...
- Condenan a prisión al hacker eslovaco que avisó de...
- Desmantelada red española de distribución ilegal d...
- Análisis del hackeo al Sindicato de los Mossos de ...
- Roban 5.000€ a un Mosso de Esquadra después de la ...
- Phineas Fisher hackeó el Sindicato de los Mossos, ...
- Phineas Fisher filtra los datos personales de unos...
- El creador de VNC Roulette descubre y vende fallo ...
- Proyecto kickstarter quiere monitorizar tus pedos ...
- Habilita automáticamente HTTPS en tu sitio web con...
- La Policía oculta las caras de unos corderos para ...
- Al director del FBI no le gusta el cifrado de What...
- Usar un contenedor Docker de Metasploit Framework ...
- Chica de 19 años transmite su suicidio en directo ...
- El grupo turco Bozkurt hackea más bancos y publica...
- Nueva (para variar) vulnerabilidad crítica en Adob...
- PornHub también se suma al programa de recompensas...
- 3.000 estudiantes de Tailandia deberán repetir exa...
- No, Craig Wright ni es Satoshi Nakamoto, ni es el ...
- Un niño de 10 años obtiene una recompensa de 10.00...
- Múltipes y graves vulnerabilidades en ImageMagick
- Cifrar documentos, ficheros o carpetas con GnuPG e...
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
354
)
ransomware
(
338
)
vulnerabilidad
(
301
)
Malware
(
263
)
Windows
(
244
)
android
(
243
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
201
)
hardware
(
193
)
linux
(
124
)
twitter
(
116
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
42
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
A pesar de que disponemos de gran cantidad de comandos en Windows 10 para realizar tareas de configuración y abrir aplicaciones, este no e...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Nueva campaña de Ransomware suplantando factura de Endesa
martes, 31 de mayo de 2016
|
Publicado por
el-brujo
|
Editar entrada
Se
ha detectado una nueva campaña de distribución de ransomware que
utiliza como gancho una supuesta factura emitida por Endesa. Después de la famosa carta certificada de Correos, llega ahora en versión factura de Endesa. Se
recomienda extremar precauciones para evitar que un ransomware cifre nuestros ficheros . Nos encontramos ante una nueva variante de ransomware de tipo TorrentLocker,
un software malicioso que al infectar nuestro equipo le da al
ciberdelincuente la capacidad de bloquear el equipo desde una ubicación
remota y cifrar nuestros archivos quitándonos el control de toda la
información y datos almacenados.
Además, exigen un pago para devolver el control. Los archivos son irrecuperables a menos que la organización afectada haga copias de seguridad y que estos datos no hayan sido afectados por el ransomware. La vía de infección suele ser el correo electrónico simulando ser una factura de Endesa con un enlace que descarga el malware desde una ubicación remota. Se ha detectado que el ransomware contacta con distintos dominios para comunicarse por lo que recomendamos su filtrado para evitar posibles conexiones. Los archivos quedan cifrados con la extensión .encrypted
La parte interesante de esta nueva campaña ransomware es que la mayoría de los dominios que albergan los scripts maliciosos se basan en el popular CMS Joomla. Sobre la base de los sitios compromisos, parece que esta campaña está aprovechando la vulnerabilidad crítica CVE-2015-8562.
Es importante aclarar que se trata de una suplantación que utiliza la imagen de la empresa para cometer el fraude y, en ningún caso, afecta a la seguridad de los servicios de la entidad.
Los correos electrónicos detectados tienen como remitente a «Factura electrónica de Endesa» y en el asunto para dar más credibilidad al correo comienza con el nombre y apellidos asociados a la cuenta de correo del destinatario seguido de “Factura” y unos caracteres alfanuméricos generados aleatoriamente, como por ejemplo «Nombre Apellidos Factura WYS2414BA7775376».
Un ejemplo del correo electrónico malicioso recibido sería el siguiente:
El correo tiene un enlace con el literal “Consulta tu factura y consumo” que al acceder a él redirige a una página en la que tras unos segundos de espera se descarga de un fichero zi (comprimido) llamado ENDESA_FACTURA.ZIP
Dentro hay un fichero de extensión JS (JavaScript) con el código malicioso ofuscado utilizando técnicas habituales usando funciones como eval(), charAt(), charCodeAt(), fromCharCode():
ENDESA_FACTURA.jsQue descarga y ejecuta el EXE
Ejemplos:
hxxp;/ mobilegallery.in/1.exe
hxx:;//luxury-bond.com/1.exe
- https://virustotal.com/es/file/e8fc27d1ee20929f5e31dc109c1f8405a9d4a374228ea7506d9a7b911cebe417/analysis/
- https://www.hybrid-analysis.com/sample/d948798df4c5f0dde08d015f8de06a4ac67b176531d6599cb6aa71028f3a7082?environmentId=100
Contramedidas: Desactivar Windows Script Host
Una solución para no quedar infectado es no poder ejecutar ficheros JS potencialmente peligrosos. Archivo de secuencia de Comandos de Jscript, wscript.exeDado que el script hace uso de Windows Script Host (WSH) para interpretar y ejecutar JScript (archivos .JS) y VBScript (archivos .VBS y .VBE) se puede deshabilitar:
Registro de Windows: el valor DWORD llamado Enabled
Valor 0 para deshabilitar wsh (valor 1 para habilitar wsh)
- Valor 1 activará Windows Script Host
- Vallor 0 desactivará Windows Script Host.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings\Enabled
O ejecutando el siguiente contenido dentro de un fichero.bat:
REG ADD "HKCU\Software\Microsoft\Windows Script Host\Settings" /v Enabled /t REG_SZ /d 0
Tal y cómo explicamos aquí:
- Extremar las precauciones y, en caso de recibir un correo de origen sospechoso, lo notifiquen al administrador de seguridad del sistema o no lo abran
- Bloquear en el proxy de su organización los dominios que se han detectado y están involucrados en la campaña. Hasta ahora hemos detectado los siguientes aunque estan activos durante muy poco tiempo y van cambiando constantemente:
hxxp://endesa-clientes .comhxxp://yamg.endesa-clientes .comhxxp://www.endesa-clientes. nethxxp://ojj.endesa-clientes .comhxxp://wtde.endesa-clientes. comhxxp://y2l6.endesa-clientes. comhxxp://ideamix-yar. ruhxxp://rogaska-crystal. comhxxp://itlearning. mahxxp://nrmac. orghxxp://craferscottages. com. auhxxp://sigortaci .nethxxp://quality-managers. orghxxp://tendearteplast. comhxxp://gettingmarried .iehxxp://reigjofre.comhxxp://tl6q.procura-italia. nethxxp://qln.myenel24. nethxxp://qln.myenel24. orghxxp://swisshalley-sale. ruhxxp://alianzasdeaprendizajo. orghxxp://heroes-of-the-middle-ages. ruhxxp://y2l6.endesa-clientes. comhxxp://securitysolutionshow. ithxxp://gov.endesa-clientes.comhxxp://asge .ruhxxp://autotranz.com. auhxxp://clubyar .ruhxxp://discoalcala. eshxxp://ecoland. prohxxp://ensarkarot. comhxxp://faam. comhxxp://hapcanny. comhxxp://hogaresherso. mxhxxp://houseofcolours.co. ukhxxp://injazattrading. comhxxp://ipecho. nethxxp://j25.dis-odense. dkhxxp://joelmeble. plhxxp://juventudrevolucion. nethxxp://klimat24. comhxxp://mate. mahxxp://minicars. nlhxxp://myenel24. nethxxp://myenel24. orghxxp://online-kotel. ruhxxp://ovidiuanton. comhxxp://p1v.endesa-clientes24. comhxxp://p1v.endesa-clientes24. nethxxp://procura-italia. nethxxp://salzburg-web. comhxxp://ubk-markets. ruhxxp://ultimchem. comhxxp://urojay31. ruhxxp://volunteerabroadnicaragua. comhxxp://waresme. comhxxp://zagool. sehxxp://gbfjetobtqi.billmassanger.comhxxp://ezum.billmassanger.comhxxp://de2nuvwegoo32oqv.torking.li
hxxp://ifapeqoj.billmassanger.comLlama la atención el dominio "endesa-clientes.com" por su parecido con el dominio real endesaclientes.com, igual pero sin el guión, registrado justo el día 31 de Mayo de 2016.
Algunos hashes detectados con esta campaña de distribución de malware son los siguientes:
c6a4d3d3ea72fa27b0a568e2c07a32fc
2dfbd71991fd06b36148fe06539df3f0
ec11c3a1be57b62e7fbede4b01b79836
945fbb95784d1ae9760fbe7099f93468
e553b8ccc10890e1e64ad816cbdbc925
a83ddf5fd7db13627674b5701c8fc07e
Endesa ha detectado una campaña con el objetivo de infectar a sus
clientes enviando -desde direcciones falsas muy similares a las que
puede usar la eléctrica- una email con una falsa factura que, al
intentar ver, descarga un virus en el ordenador del usuario.
El programa se distribuye por correo electrónico desde un supuesto correo de Endesa indicando que se trata de una factura eléctrica de importe elevado: cuando el usuario realiza click en el enlace para ver el detalle de la factura se descarga el virus, conocido como Ransomware Locky, en el equipo.
La eléctrica ha advertido a sus clientes que se trata de un virus que
bloquea los archivos personales de los usuarios de ordenadores y les
pide que paguen un rescate para recuperarlos.
El programa se distribuye por correo electrónico desde un supuesto correo de Endesa indicando que se trata de una factura eléctrica de importe elevado: cuando el usuario realiza click en el enlace para ver el detalle de la factura se descarga el virus, conocido como Ransomware Locky, en el equipo.
Estimado cliente:
Se ha detectado una campaña fraudulenta simulando avisos de factura de Endesa que invitan a descargarse la factura. Una vez abierto el mail, si haces "clic", enlazas a una página con código malicioso ("virus") que bloquea los archivos personales de los usuarios de ordenadores.
Desde Endesa te recomendamos no hacer clic en los enlaces de ningún eMail de factura que no cumpla que el remitente sea "Endesa Online" gestiononline@endesaonline.com.
Estamos realizando las acciones pertinentes contra estos ataques informáticos.
Te mantendremos informado de cualquier cambio relevante sobre este asunto.
Gracias por confiar en nosotros.
Equipo de Atención al Cliente.
Factura electrónica de Endesa
La factura electrónica de Endesa es un opción que existe realmente y que ofrece la propia empresa.La factura electrónica de Endesa recoge los mismos datos que la factura que recibes en papel, pero en un formato digital.
Con la factura electrónica de Endesa tendrás más ventajas:
- Disponibilidad: Te enviamos un email en cuanto esté disponible tu factura y podrás consultarla en el momento.
- Rapidez: Accede a tus facturas de forma rápida desde tu email.
- Seguridad: La firma digital te garantiza la autenticidad del emisor y la integridad del contenido.
- Organización: Puedes archivar todas las facturas en tu ordenador o consultarlas desde Mi Endesa.
- Ahorro ecológico: Respeta el medio ambiente.
Activar la factura electrónica es un servicio gratuito y muy sencillo. Puedes hacerlo desde tu área privada Mi Endesa desde la pestaña de Mis facturas y Mis contratos y lo puedes hacer para un solo contrato o para todos tus contratos.
Recuerda que una vez activada la factura electrónica, dejarás de recibir tus facturas en papel. No obstante, podrás volver a la factura en papel si lo deseas (excepto si tienes contratado algún producto ONE).
Fuentes:
http://www.csirtcv.gva.es/es/noticias/alerta-nueva-campa%C3%B1a-de-ransomware-suplantando-endesa.html
http://blog.emiliocasbas.net/2016/05/massive-ransomware-campaign-of.html
https://www.osi.es/es/actualidad/avisos/2016/05/falsa-factura-electronica-de-endesa-intenta-infectar-tu-equipo.html
Lista de correo de la RootedCON
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
22 comentarios :
Muchas gracias por escribir todo esto. Ya he visto un par de pequeñas empresas afectadas, y es una jodienda de cuidado...
Nos ha pasado anoche... Pero coincide que el mes pasado hemos dado de alta en un local Endesa, entonces creo que no es casualidad. Estarán metidos en la base de datos de Endesa y todo lo que sean empresas y se han dado de alta recientemente te lo mandan, así que yo creo que Endesa es culpable porque no tiene muy buena seguridad de datos. Nos ha fastidiado muy bien ya que estamos con un juicio y toda la información estaba en el portátil....así que están jugando con las vidas de las personas y no entiendo como no se puede hacer nada.Desde luego sería lo suyo reclamarle daños y perjuicios a Endesa.
Hay solución para desencriptar los archivos infectados?
Por cierto, buenísima la información, como siempre!!
Muy Veraz sta informacion. Yo recibieste mensaje y me alerto el elevado precio.
Saludos
buenas tardes
yo se como desencriptar los archivos infectador por el virus endesa.
melchorgb7@gmail.com
Y si mi abuela tuviera ruedas, sería una bicicleta
Si así es comparte con la comunidad.
Si así es comparte con la comunidad.
En nuestra pyme entró ayer, encriptó los del equipo, y los del servidor departamental que tenía mapeado.
El equipo infectado está aislado de la red y será formateado de 0, y la información del servidor de datos restaurada de una copia de hace unos días.
Saben cómo puedo encontrar el virus en el ordenador infectado?, le estoy pasando el antivirus Microsoft Security Essentials pero no encuentra nada.
Y si lo formateo y reinstalo de 0, tengo la seguridad de que el virus no se reactive y vuelva a encriptar los datos?
En principio en los servidores no encuentro nada, una vez cambiados los ficheros encrypter por los de la copia.
Muchas gracias por la información
>Saben cómo puedo encontrar el virus en el ordenador infectado? --> técnicamente no es un virus, es un malware, porque no tiene capacidad para reproducirse. Simplemente se inicia un ejecutable al reiniciar Windows, pero si formateas y reinstalas Windows no se reactiva ni vuleve a cifrar nada.
De hecho no hace falta ni reinstalar Windows, basta con eliminar las entradas del registro de inicio (con autoruns, por ejemplo) y problema solucionado. No he visto, ni leído de ningún caso, ni variante, que el malware sea persistente o difícil de eliminar. Creo que ningún antivirus detecta versiones de malware que sean ransomware.
El servidor tampoco queda "infectado", basta con restaurar los ficheros cifrados y problema solucionado.
Gracias por el buen articulo.
Por mi trabajo me he encontrado con varios casos de ransomware que han afectado a clientes particulares y de empresa. Alguno se han podido desencriptar, la mayoria no (cryptolocker).
Acabo de postear en el foro de FreeNAS como pude salvar los muebles gracias al rollback del sistema de archivos.
OJO: aqui no describo como desencriptar los archivos ya que no fue posible.
Por si sirve de ayuda.
Gracias y adelante con el buen trabajo.
https://forums.freenas.org/index.php?threads/freenas-vs-cryptolocker-caso-real.44351/
y afecta a los móviles o solo a los oredenadores con sistema operativo WINDOWS?
Solo afecta a los ordenadores con windows, y no a todos.
De hecho yo he realizado pruebas con varios equipos y no he sido capaz de infectarme.
Para que se te encripte el ordenador tiene que darse una serie de cirscunstancias :
* sistema operativo no actualizado
* antivirus no actualizado
* programas no actualizados : java, acrobat, office, flahsplayer ...
Con una sola de esas casuisticas algunos virus ya son capaces de hacer su trabajo.
SUERTE.
Muchas gracias por la rápida y útil contestación. Un saludo
Muy buena info el artículo... pero miren todavía siguen haciendo de las suyas http://globbsecurity.com/ataque-ransomware-metro-san-francisco-40189/ aunque tuvo su lado positivo
He estado leyendo algunos de sus comentarios yo trabajo en CISET empresa de mantenimiento informático en el en que trabajamos con SOPHOS un antivirus para empresa o para particular que protege cualquier ordenador, móvil, etc, centrado principalmente en proteger contra RANSOMWARE.
Y actualmente el departamentode marketing ha iniciado una campaña promocional con unos descuentos increíbles, os dejo la información para que podáis echar un vistazo http://www.ciset.es/seguridad-informatica/sophos-intercept-x
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.