Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
NOTICIA

Europa pasa a ser el principal objetivo del ‘ransomware’ TorrentLocker

13/04/2017 - Trend Micro
El ‘ransomware’ TorrentLocker ha cambiado su estrategia de ataque, siendo Europa el principal objetivo, tal y como anunció Trend Micro el 22 de marzo.

Tras un período de calma, el ransomware TorrentLocker ha vuelto a aparecer recientemente con nuevas variantes, las cuales están recurriendo como método de propagación a un mecanismo que explota y abusa de las cuentas de Dropbox, teniendo a Europa como principal objetivo. Este nuevo tipo de ataque está en línea con las predicciones de 2017 de Trend Micro, que apuntaban a que el ransomware seguiría evolucionando más allá de los vectores de ataque convencionales.

TorrentLocker se ha mantenido activo incluso tras alcanzar su momento álgido, con unas tasas de detección bajas, lo que ha permitido a los cibercriminales continuar trabajando en la sombra mientras prosiguen los ataques contra víctimas involuntarias. 

Las nuevas variantes TorrentLocker mantienen el mismo modus operandi que los ejemplos que Trend Micro detectó anteriormente, aunque los cambios más significativos se dan en su nuevo método de distribución y en la manera en el que el propio malware está comprimido.

Un ejemplo del nuevo ataque TorrentLocker comienza con un email que simula una factura enviada por un distribuidor de la organización donde trabaja la víctima. La factura no se envía de forma adjunta, sino que se accede a ella a través de un link de Dropbox que contiene un texto haciendo referencia a facturas o números de cuenta para, así, parecer auténtico. El uso del Dropbox mediante una URL permite a TorrentLocker traspasar los sensores del gateway, ya que no existen restricciones y el link proviene aparentemente de una página web legitimada.

Una vez que el usuario pincha en él, se descarga un archivo JavaScript que simula ser una factura en el ordenador de la víctima. Cuando trata de abrir la factura falsa, se descargará otro archivo JavaScript en la memoria, al que seguirá la consiguiente descarga y ejecución de la carga útil de TorrentLocker que se ejecutará automáticamente en el sistema.

Ataques

Sólo entre el 26 de febrero y el 6 de marzo de 2017, Trend Micro detectó 54.688 casos de emails de spam que incluían URL dirigidas a 815 cuentas diferentes de Dropbox. La mayor parte de ellas tuvo lugar en Europa, siendo Alemania y Noruega los países con mayor porcentaje de infecciones. Los autores del ransomware lanzaron el mayor número de ataques en los días laborables, mientras que la intensidad se veía rebajaba los fines de semana. El equipo de investigación de Trend Micro ha descubierto índices de infección elevados en la franja horaria de entre las 9:00 y las 10:00 de la mañana, coincidiendo con el inicio de la jornada laboral, que es cuando los empleados generalmente comprueban sus emails.

Actualmente, el equipo de Trend Micro está trabajando con Dropbox en este tema. Así, según el equipo de seguridad de Dropbox, todos los archivos descubiertos en el momento de la publicación han sido eliminados y sus respectivos usuarios prohibidos.

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual