A lo largo de la tarde no he parado de recibir peticiones de ayudas
desde varias organizaciones y empresas debido a una masiva infección
mediante 'CryptoLocker'.
La fisonomía del ataque se aleja de los típicos correos mal escritos y
que son detectables a simple vista. Por contra, la campaña está empleando e-mails que simulan provenir de Correos y hablan sobre un paquete que no ha podido ser entregado.
El dominio que están empleando (al menos en algunos de esos e-mails) es correos24.net
Como se puede ver en el whois:
Domain Name: CORREOS24.NET
Registrar: REGISTRAR OF DOMAIN NAMES REG.RU LLC
Whois Server: whois.reg.ru
Referral URL: http://www.reg.ru
Name Server: NS1.REG.RU
Name Server: NS2.REG.RU
Status: clientTransferProhibited
Updated Date: 03-dec-2014
Creation Date: 03-dec-2014
Expiration Date: 03-dec-2015
Registrar: REGISTRAR OF DOMAIN NAMES REG.RU LLC
Whois Server: whois.reg.ru
Referral URL: http://www.reg.ru
Name Server: NS1.REG.RU
Name Server: NS2.REG.RU
Status: clientTransferProhibited
Updated Date: 03-dec-2014
Creation Date: 03-dec-2014
Expiration Date: 03-dec-2015
Es un domino que se ha creado hoy 3 de Diciembre.
Otro de los puntos que convierte esta amenaza en algo muy serio es el hecho de que, tras los correos hay una campaña OSINT previa para dirigir el ataque de forma selectiva a personas a quienes les llegan los correos a su nombre y apellidos.
Esto ayuda a dar credibilidad a dichos e-mails y en muchos casos la gente está descargando el Ransomware.
Los correos lucen tal que así
Como se aprecia, van PERSONALIZADOS con nombres y apellidos de las personas a las que pertenecen los correos.
Desde aquí instamos a bloquear el dominio correos24.net y recomendamos instalar Anti Ransom para prevenir infecciones.
UPDATE: Actualmente, muy pocos motores antivirus detectan la variante de CryptoLocker. Reporte VT aquí
UPDATE: Actualmente, muy pocos motores antivirus detectan la variante de CryptoLocker. Reporte VT aquí
