Análisis de la falsa factura de Endesa que propaga variantes de ransomware

endesa_ransom6

Como cada semana desde hace ya unos meses, esperábamos ver una nueva campaña de ransomware siendo propagada por correo electrónico. Sin embargo, en esta ocasión nos hemos encontrado con la sorpresa de que los ciberdelincuentes han hecho un cambio importante pese a usar una técnica que venimos observando desde finales de 2014.

Diferente email, misma técnica

En lugar del conocido email de Correos que nos avisa de la recepción de un paquete postal, hemos visto cómo se ha usado el nombre de la conocida empresa eléctrica Endesa para intentar engañar a los usuarios que han recibido este mensaje para que pulsen sobre el enlace malicioso. Este cambio puede ser debido a que muchos usuarios ya reconocían como malicioso el email de Correos y su efectividad había disminuido con el tiempo, a pesar de que hemos visto campañas usando este email muy recientemente.

endesa_ransom1
Si analizamos el email vemos como se menciona un elevado consumo y se proporcionan datos ficticios que han sido generados por los delincuentes. Hemos encontrado varias muestras de este correo con datos diferentes, pero en ningún caso parecen corresponder con usuarios reales de esta empresa, por lo que podemos descartar la filtración de datos privados.

Por su parte, Endesa ha lanzado un comunicado alertando de esta campaña de propagación de emails fraudulentos que utilizan su nombre, y recuerda que el email oficial para realizar gestiones online es gestiononline@endesaonline.com.

endesa_ransom4

Por el número de casos que hemos detectado y las numerosas consultas realizadas en foros de usuarios afectados durante el día de ayer y hoy, podemos decir que solamente cambiando la plantilla de correo utilizado, los ciberdelincuentes han logrado afectar a muchos más usuarios que los que venían consiguiendo últimamente usando la plantilla de Correos.

Descarga del ransomware

Salvo la utilización de una nueva plantilla del email para engañar a los usuarios, esta nueva campaña de propagación sigue utilizando técnicas que han demostrado su eficacia en campañas anteriores. Una vez se pulsa sobre el enlace proporcionado en el email, el usuario descargará un fichero comprimido en .zip que a su vez contiene un archivo JavaScript. La fecha de creación de los archivos demuestra que se compilaron justo antes de iniciarse esta campaña y que los delincuentes están modificándolos continuamente para dificultar su detección.

endesa_ransom5

Con respecto a los dominios utilizados por los delincuentes para redirigir a la descarga del fichero malicioso sin que los usuarios sospechen, los delincuentes han optado por registrar numerosos dominios con un nombre que recuerde al de la empresa Endesa. De hecho, el registro de estos dominios empezó durante el lunes 30 de mayo y ha seguido, por lo menos, también durante el martes 31.

endesa_ransom3


Una vez descargado y ejecutado el JavaScript que contiene una variante del TrojanDownloader Nemucod, este se pone en contacto con los centros de mando y control de los delincuentes para obtener la URL desde donde descargar la variante de ransomware correspondiente. Para este fin se han estado utilizando principalmente webs comprometidas que tenían una versión de Joomla vulnerable, aunque otros usuarios también han informado de la descarga del ransomware desde webs creadas con WordPress.

Cuando el ransomware ya se ha descargado en el sistema de la víctima y se ejecuta, este empieza a cifrar archvos con una amplia variedad de extensiones pero dejando intactos los del sistema, tal y como viene siendo habitual desde hace años. En cada carpeta donde haya ficheros cifrados se generan ficheros con instrucciones para recuperarlos, instrucciones que nos dirigen a una web ubicada en una dirección de la red Tor y que exigen el pago del rescate en bitcoins. Esta plantilla lleva usándose casi sin modificaciones desde finales de 2014 y hay muchas variantes que la han utilizado, no solo Cryptolocker. De hecho, la variante analizada en este caso es TorrentLocker, que ya ha hecho uso en el pasado de técnicas muy similares suplantando a Correos España.

endesa_ransom7

¿Cómo evitar estas infecciones?

Tal y como hemos mencionado en anteriores ocasiones, es necesario contar con la versión más actualizada de nuestro antivirus y activar aquellas opciones que permitan detectar nuevas variantes de malware que estén propagándose a gran velocidad en el menor tiempo posible. Además, las empresas que lo deseen disponen de nuestro manual de configuración de las soluciones de seguridad de ESET para luchar contra el ransomware, manual que les será de gran utilidad para evitar que las estaciones de trabajo de su empresa se infecten y esta infección llegue a afectar a los servidores y la información que allí se almacena.

Como vemos, la prevención y la utilización de soluciones de seguridad efectivas contra el ransomware resultan esenciales, pero no menos importante es la concienciación de los usuarios. Si recibimos un correo de este tipo, lo primero que debemos preguntarnos es si Endesa es nuestra compañía proveedora de electricidad. Aun si lo fuera, siempre se recomienda desconfiar de enlaces proporcionados por email y, ante la duda, llamar al servicio de atención al cliente para que nos confirmen o desmientan un supuesto cargo elevado en la factura de la luz.

Josep Albors

Indicadores de compromiso (IoC):

Hash SHA1 de la muestra analizada:

2859463748ED383779A2001EE4F2AD979FDC3355

Hash SHA256 de la muestra analizada:

34C28DFBB14EF83AAAF0036EDF449545A94C4849C8FF0E15423A66468A58636E

Dominios maliciosos o comprometidos detectados:

gendesa-clientes24.com

gendesa-clientes.com

*.endesa-clientes.com (dominios generados con caracteres aleatorios)

endesa-clientes24.com

faam.com

alfold.net

Penúltima guía sobre cómo aprender Hacking. Mayores de 30 vs menores