GoldenEye es el título de una de las películas de la saga de James Bond, y también el de una nueva campaña de ransomware que está usando las solicitudes de empleo como gancho para esparcir el malware. Éste tiene como objetivo a los departamentos de recursos humanos de las empresas, pidiendo un rescate de 950 euros de media.

Check Point ha desvelado el funcionamiento de GoldenEye, que se trata de la última variante del popular ransomware Petya.  Esta campaña para distribuir software malicioso se envía como una falsa solicitud de empleo a los departamentos de recursos humanos de las empresas.  Estos departamentos reciben correos electrónicos en los que parece que una persona está pidiendo trabajo y en los que hay un archivo adjunto con un currículum, cuando en realidad, si lo descargan, están descargando una peligrosa pieza de ransomware.

Una vez que se ha descargado el archivo y producido la infección, el ransomware solicita un rescate de 1,3 Bitcoins, que equivalen a unos 950 euros.

Según explican los expertos, esta campaña de malware ha comenzado por atacar empresas en Alemania. Primero, envían un email haciéndose pasar por un candidato que busca trabajo. El correo electrónico incluye dos adjuntos: en uno de ellos, un archivo PDF, se incluye una carta de presentación, en el que no hay ningún elemento peligroso. De esta forma se genera una falsa sensación de seguridad. Pero el segundo archivo, un Excel con macros peligrosos desconocidos por el receptor, es el que contiene el payload (la carga maliciosa).

Así funciona el ransomware GoldenEye

Cuando las víctimas, en este caso los trabajadores de los departamentos de recursos humanos, abren el documento y habilitan el contenido (tan habitual en los documentos de Office que nos llegan de terceros continuamente), se ejecuta el código escondido dentro de la macro, y se inicia el proceso de cifrado. Es entonces cuando el ransomware bloquea el acceso a los archivos, de forma que los usuarios no pueden acceder a ellos.

GoldenEye incorpora de forma aleatoria una extensión de 8 caracteres a cada archivo cifrado. Y después de cifrar los archivos, aparece en el equipo infectado un documento llamado “YOUR_FILES_ARE_ENCRYPTED.TXT”, fuerza al equipo a reiniciarse y comienza a cifrar el disco duro. Mientras dura este proceso, el usuario ve una falsa pantalla informativa que informa de que el PC se está reparando. Cuando se reinicia, aparece una nota de rescate, similar a la de otros tipos de ransomware y a su variante, Petya.

Según informa Check Point, el desarrollador detrás de Petya y GoldenEye es un cibercriminal conocido como Janus, que hasta octubre de 2016 gestionaba la web “Janus Cybercrime”, donde ofrecía Petya y Mischa como Ransomware-as-a-Service. Janus es además el nombre de un sindicato de cibercrimen que apareció en la película GoldenEye de la serie de James Bond, estrenada en 1995, de ahí la relación con el nombre.

Para protegerse de este ransomware, y de otros tipos similares, es recomendable que los usuarios sigan las recomendaciones básicas, que hemos explicado numerosas veces desde este medio. Aquí puedes echar un vistazo a más información sobre el ransomware y consejos sobre cómo evitar ser una víctima.

About Author

Globb Security

Globb Security, la web de referencia del sector de la seguridad informática.

Deja un comentario