Check Point® Software Technologies Ltd. (NASDAQ: CHKP) desvela el funcionamiento de GoldenEye, la última variante del conocido ransomware Petya. La campaña para distribuir este software malicioso utiliza una falsa solicitud de empleo, y su objetivo es llegar a los departamentos de recursos humanos de las empresas.
Las organizaciones no pueden evitar abrir los correos de terceros con archivos adjuntos como currículums de aspirantes, lo que facilita la infección. Una vez que se ha producido, el rescate empieza exigiendo el pago de 1,3 BitCoins (BTC), que equivale aproximadamente a 950 euros.
Un ransomware dirigido a los departamentos de RRHH
La campaña ha empezado atacando a empresas alemanas a través de un email de búsqueda de trabajo. El correo electrónico incluye un mensaje que, supuestamente, procede de un candidato y contiene dos anexos.
El primer fichero, un pdf, incluye una carta de presentación, sin ningún elemento peligroso incorporado, y su objetivo es transmitir al receptor del mensaje una falsa sensación de seguridad. El segundo adjunto es un Excel con macros peligrosos desconocidos para el receptor. Contiene una imagen de una flor con el texto “loading” en su parte inferior, y un texto en alemán pidiendo a la víctima que autorice el contenido de forma que las macros puedan ejecutarse. Todos siguen un esquema parecido, empezando por el nombre del “candidato” y la palabra “solicitud” en alemán (Bewerbung).
Proceso de cifrado
Cuando un usuario hace clic en “Enable content”, el código dentro de la macro se ejecuta, e inicia el proceso de encriptado, negando al internauta el acceso a sus ficheros.
GoldenEye incorpora entonces aleatoriamente una extensión de 8 caracteres a cada archivo cifrado. Después de que toda la información haya sido codificada, muestra la nota “YOUR_FILES_ARE_ENCRYPTED.TXT”. A continuación, fuerza al equipo a reiniciarse y comienza a encriptar el disco duro. Mientras que este proceso se está realizando, una falsa pantalla informa de que el PC se está reparando. A continuación aparece una nota de rescate, similar a la de anteriores variantes de Petya.
El desarrollador detrás de Petya es un reconocido cibercriminal conocido como Janus. Hasta octubre de 2016, gestionaba la web “Janus Cybercrime”, donde ofrecía Petya y Mischa como Ransomware-as-a-Service. Janus es también el nombre de un sindicato de cibercrimen que apareció en la película GoldenEye de la serie de James Bond, estrenada en 1995.
Un parecido nada casual
La campaña Bewerbung (llamada así por el nombre del archivo infectado) ya ha sido utilizada con anterioridad. Con Petya/GoldenEye y Cerber funcionando como Ransomware as-a-Service (RaaS), es bastante probable que exista un único elemento detrás de ambas campañas de envío de malware a sus víctimas.
¿Cómo protegerse?
Check Point Forensics ha publicado un estudio sobre Petya, que se puede consultar en su web. Además, la marca de ciberseguridad aconseja a las empresas adquirir soluciones de seguridad avanzada, como SandBlast Zero Day Protection, para poder protegerse de esta y de otras amenazas de última generación.
