Iberlayer Blog

Durante las últimas semanas Iberlayer está detectando una extensa campaña dirigida y enfocada en el sector turístico, concretamente hacia cadenas hoteleras.

Los ciber-delincuentes buscan engañar al personal de Recepción de los hoteles intentando que descarguen y ejecuten un archivo que normalmente se aloja en servidores de OneDrive, Sharepoint Online, Dropbox, Mega y FileTransfer y que suele estar cifrado para intentar evadir posibles sistemas de seguridad existentes.

Todos los tipos de intento de engaño encontrados hasta ahora se pueden clasificar en 3 tipos, casi siempre en inglés:

1.- Reclamaciones por problemas de calidad en la habitación, existencia de chinches en la misma, etc.

            En este caso intentan convencer al hotel de que tras haberse hospedado en él, no han quedado satisfechos por una serie supuestas deficiencias encontradas e indican su deseo de enviar al hotel un video que las refleja o el informe médico que detalla el problema sufrido a consecuencia de esas deficiencias, etc.

 Por supuesto argumentan que como ese video es muy grande para enviarlo por email, facilitan una URL de la que poder descargarlo.

2.- Petición de información detallada.

            Argumentando estar gestionando una reserva para unas personas de edad avanzada o con problemas físicos o de salud, intentan convencer al hotel para que haga click en una URL donde se detallan los requisitos que una habitación debe cumplir para considerarse apta. 

También pueden solicitar detalles del camino entre el aeropuerto y el hotel, etc.

o ayuda por una avería en el vehículo que les traslada al hotel…

3.- Datos/Documentos/objetos personales

            Desean hacer una reserva para una persona importante cuyos datos personales no pueden facilitarse de cualquier manera, por lo que el hotel debe “ir a buscarlos” en una URL que con mucho gusto pueden facilitarle si lo desean.

Otras veces puede tratarse de una petición de ayuda por algún documento extraviado, por ejemplo un pasaporte, etc:

O haber sido víctimas de un robo:

Como se ha indicado, la mayoría de los correos suelen estar escritos en Inglés, pero no obstante una pequeña cantidad lo está en Español, en cuyo caso, en todos ellos mencionaban temas relacionados con "chinches".

MALWARE ASSOCIADO

En todos los casos los correos proceden de direcciones válidas de freemail (gmail.com en un 90%) que han sido previamente comprometidas.

Las URLs maliciosas apuntan en un 90% de las veces a sistemas de almacenamiento en nube, GoogleDrive, SharepointOnline, Mega, Dropbox, y FileTransfer y en un 10% a webs comprometidas (mayoritariamente por vulnerabilidades en Plugins  de WordPress).

Contienen generalmente un archivo ZIP (que puede tener extensión .zip o .rar) cifrado cuya clave el ciber-delincuente nos facilita en el propio correo electrónico, como se mencionó anteriormente.

Dentro del archivo cifrado encontramos siempre algún documento, foto o video que avala el motivo original por el que se contacta al hotel, además de o bien un .LNK (accesos directos de MS Windows)  que a su vez descarga el malware vía lolbins (principalmente cmd y curl) o directamente un ejecutable .SCR (protectores de pantalla de MS Windows), en cuyo caso suelen jugar con la doble extensión, como puede verse en estos ejemplos reales: 

IOCs

Hasta el momento todo el malware encontrado termina descargando la carga maliciosa desde la misma dirección IP:

89[.]23[.]98[.]22

Esta dirección pertenece al Sistema Autónomo AS56694, ubicado en Rusia y cuyas IP son frecuentemente usadas por ciber-delincuentes en campañas dirigidas a sectores industriales concretos.

Hashes de ficheros maliciosos (Sha256):

4e87560ed158b38277aaa65d54e24642141dd1d55627d27e7f2ffb838344e465

3f4321110b3e20a56971194eed40057340fb301e71e8dd8b24d8a5c17ea9f2e5

b802c9fee74a5915eae2186b83885477ba8130d284729bf2b3c60ece4742c8bb

b6a8027e89e9096e89cd22da92b53ecd760688f58bfae1a4437015507ad61436

8826f280dac9300ceb7eebe3e71f7803b3d8e447da155a3ba55c7813fed00645

63be237d15e7bf2072d88fa295350a83449042f75c2ab1b7b4f97e01fca9df2e

c914b40ec71d8ed121419d80bcc3ba29d6574139833a8539b4e54e37c82b77c4

e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855

8f1741eed32ab56ec8e44d7475a00102213ce30f85a0b5632abe719adabb0c88

a8da12a1158d381f8db8e0a841f6b0edbd221cebc7e25bb832192fb14f65f6fd

54b89d28fb80672af0a26ff4a00a186ecbaee67c25ac696dbf5c54928a681a0f

c841325a942bebe720d57af685c371e8b19d50c447de6857a496061f55d03d8b

c5149d6128a9d307130138f69437adc5d362bb3435afb506c657fddee40c905d

65e207bf0caad9a09d1f7db3b2bd6fc789ca58db728ebd5b090937f8b3c328ee

937fb1e09f9b5295834b95c1d55334ab686c0b92fb2e5932bb22f4154d174e64

e87de0cedef157fe49f5f312766524bba6bb987f8033aabea6f903d708e6da70

8058356002c0f72e1a3520cdf2dd6aebd82ae69716d33543bd3f06b1ced447f4

7ee9a877c0155109d029ec085d233dd79f2152b59b1ec0b01ccbb3376ced4616

08084427618d68229e7a6b496a4b0c71689d28063bcdd4d3f8cc56ed71ca85e4

3c7a2074fd0002b0ad9b2a1fbd8e08bc2f922c578b2794c38e6b54d452e48c57

82d106e9cfbf2921d822a98a00e2fc16ff9b126e3d0eb70dc1b83626badf696b

14794e4e723096f02261527cb67aea0779f1c30be53da204c1927697b119ce6b

a89e7299ac2439e889ccd08ed8a44ebd174deeb74d49ade1d40ab2914b4313bd

 Hoy en día el consumo de energía ya no es sólo un problema económico sino también un problema ecológico de primer orden. Cuidar de nuestro planeta ha dejado ya de ser una cuestión de sentido común para convertirse en una obligación.

 El problema de la contaminación y calentamiento global nos afecta a todos y por tanto es tarea de todos luchar contra ellos.  En Iberlayer no somos ajenos al problema y con la intención, el ánimo y la ilusión de aportar nuestro granito de arena, nos hemos pasado a la energía verde de origen solar.

Gracias a una potente instalación de auto-generación, nuestras oficinas centrales disponen del 300% de la potencia necesaria para atender no sólo el consumo normal diario y cargar el parque de vehículos eléctricos de los empleados, sino cubrir también las expectativas de crecimiento.

 Gracias a este pequeño gran paso estamos evitando el vertido de aproximadamente 7 Toneladas de CO2 al año a la atmósfera si generásemos esa energía eléctrica usando Gas como combustible y de 17,5 Toneladas aproximadamente si se usase Carbón.

"Un grano no hace un granero, pero puede desequilibrar una balanza..."

Durante los últimos tiempos se ha disparado hacia arriba el número de compañías afectadas por ataques mediante Ransomware que básicamente actúan de dos maneras: cifrando todos los documentos que encuentran en la red de la víctima para pedir dinero a cambio de la clave de descifrado, y/o mediante el robo de una gran cantidad de datos para pedir dinero a cambio de no publicarlos.

Por lo general la amenaza del cifrado local de datos “suele”, entre comillas, preocupar menos cuando las compañías cuentan con potentes sistemas de backup, capaces de revertir grandes cantidades de datos a su estado anterior en poco tiempo.

Por cierto, un detalle que no se debe jamás olvidar cuando se es víctima de un ataque de este tipo es, antes de intentar recuperar los datos desde las copias de seguridad, hacer un backup nuevo de los datos tal y como están,  o sea “cifrados”. De esta manera si por cualquier motivo la recuperación completa resultara imposible y lamentablemente tuviésemos que acceder de algún modo al chantaje, la recuperación sería posible. De otro modo, al haber “machacado” los datos cifrados con el restore del backup, esta salida de emergencia la tendríamos bloqueada sin remedio.

No obstante cada vez son más las compañías que se ven afectadas por la segunda modalidad de Ransomware, la que exfiltra datos y amenaza con publicarlos si no accedemos a un pago. El principal motivo es sin duda el RGPD (Reglamento General de Protección de Datos), toda vez que los cyber-delincuentes saben muy bien que a las compañías les pueden asustar más las posibles sanciones que los daños causados por la publicación de esos datos.

Lo habitual es que cuando una compañía es ‘hackeada’ y le extraen datos, los responsables de esta compañía reciban emails de aviso por parte de los cyber-delincuentes indicándoles lo que ha pasado, los pasos a seguir y a lo que se exponen en caso de no hacerlo. Las cantidades económicas varían, siempre en cryptomonedas, entre unos pocos miles de Euros hasta los varios cientos de millones, aumentando su valor conforme más tiempo pasa.

Técnicas del Laboratorio de Iberlayer han detectado hoy una nueva forma de “chantaje”, sencilla pero muy posiblemente eficaz: Los cyberdelicuentes, tras robar los datos, no sólo han enviado la amenaza a la víctima como es habitual, sino que han enviado correos electrónicos a todas las personas y compañías que han encontrado en esos datos robados, explicándoles lo que ha pasado y que si la víctima no accede al chantaje, perdón, al pago, serán sus datos los que se harán públicos.

He aquí un ejemplo real de uno de estos correos:

Evidentemente el objetivo es que se multiplique exponencialmente la presión sobre la víctima y que esta termine pagando.

Es una idea muy sencilla y que mucho nos tememos va tristemente a funcionar como esperan, ya no solo por la presión que un montón de terceros puede hacer, que por supuesto, sino por la imagen que ante ellos haya podido causar esa compañía. 

Nuestra solución de protección completa del correo electrónico, Iberlayer Email Guardian, aporta la tranquilidad que las grandes compañías necesitan tener hoy en día sobre su correo electrónico, detectando no solo las amenazas directas sino también las indirectas, de forma tan segura como filtrado a mano.

 

Pedro David Marco.

Iberlayer.com

La ya tradicional campaña de SCAM, activa desde hace años, ha ido adaptándose siempre a las las circunstancias para maximizar su probabilidad de éxito.

Estos correos nos suelen emitir amenazas de diversa naturaleza que se harán realidad si no accedemos al pago inmediato de una cantidad de dinero en alguna cyrptomoneda (generalmente Bitcoins).

Leer más...