Detectadas campañas de spam con el ataque a Kaseya como gancho

  • Endpoint

En los correos se ofrecía un enlace a una supuesta actualización para solucionar la vulnerabilidad, el cual redirige al usuario a la descarga de la herramienta Cobalt Strike. España es el país con mayor tasa de detección de correos maliciosos, con un 14,9% del total.

Recomendados: 

Sophos ZTNA: securizando el acceso a organizaciones en cualquier lugar Webinar

Anatomía del ataque a una cuenta privilegiada Leer 

El ataque del ramsonware REvil perpetrado contra Kaseya sigue dando de qué hablar. El ciberataque, que aprovechó una vulnerabilidad en el software Kaseya VSA para cifrar la información de alrededor de 1.500 empresas y pedir un rescate a cambio, está siendo utilizado por spammers para captar nuevas víctimas. Concretamente, los investigadores de ESET, han estado recabando información durante los últimos días acerca de varias campañas de propagación de correos maliciosos que ha estado utilizando como gancho este reciente ciberataque.

En alguna de estas campañas España ha sido el país con una mayor tasa de detección de correos maliciosos con un 14,9% del total, frente a otros como Estados Unidos (12%), Canadá (9,2%), Turquía y Reino Unido (ambas con un 7,2%). Entre todas las muestras detectadas y analizadas durante los últimos días destacan las nombradas como Win32/Kryptik.HLPU y Win32/Rozena.AFJ, las cuales son responsables de buena parte de las detecciones y se comunican con el mismo centro de mando y control utilizado por los delincuentes.

ESET ha estado detectando durante la semana pasada numerosos correos electrónicos en los que se ofrecía una supuesta actualización para solucionar la vulnerabilidad que utilizaron los delincuentes para ejecutar el ransomware REvil. En estos correos se puede observar que, tanto en el asunto como en el cuerpo del mensaje, los delincuentes mencionan el incidente de seguridad y proporcionan un enlace para descargar una supuesta actualización. El enlace parece ser correcto a primera vista, pero, en realidad, redirige al usuario a la descarga de Cobalt Strike, una herramienta legítima que se utiliza en tests de intrusión, pero que también es usada por los delincuentes para conseguir acceso remoto a sistemas comprometidos.

Para Josep Albors, director de investigación y concienciación en ESET España, “resulta muy sencillo lanzar una campaña de correos de este estilo aprovechando un incidente de seguridad tan importante como el que vimos hace unos días con Kaseya VSA. Es bastante probable que algunos de los usuarios que reciban estos email caigan en la trampa si no se andan con cuidado a la hora de reconocer la procedencia del email, por lo que resulta indispensable contar con una solución de seguridad que sea capaz de identificar estas amenazas por si terminamos pulsando donde no debemos”.