Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Campaña de correos electrónicos maliciosos que pretenden infectar equipos con ransomware

Fecha de publicación 28/08/2023
Importancia
4 - Alta
Recursos Afectados

Todo empresario, autónomo o empleado que haga uso del correo electrónico de empresa y reciba un mensaje con las características descritas en este aviso. 

Descripción

Se ha detectado una nueva campaña de correos electrónicos fraudulentos que tratan de infectar los equipos de las empresas con un ransomware. La campaña detectada va dirigida a empresas de arquitectura, aunque no se descarta que su radio de acción se amplíe a otros sectores. Los ciberdelincuentes suplantan la identidad de una conocida empresa fotográfica solicitando un presupuesto con el que ganarse la confianza del destinatario y poder, finalmente, enviarle unos archivos infectados.

Solución

Si se recibe un correo electrónico como el que se describe en el aviso, se recomienda eliminarlo inmediatamente y ponerlo en conocimiento del resto de empleados, así como de las autoridades, para evitar posibles víctimas.  

En caso de haber respondido al correo, haber recibido los archivos infectados y haberlos ejecutado, se recomienda desconectar el equipo de la red lo más pronto posible y cortar todo tipo de comunicación con el ciberdelincuente. 

Nuestra recomendación es apagar el equipo cuanto antes con el objetivo de detener la propagación del cifrado de archivos que el malware está realizando. Tras ello, lo idóneo será contactar con un técnico que ofrezca asistencia para poder desencriptar los archivos.

El ransomware es un malware que toma el control completo de los archivos que se encuentran en el equipo, cifrando dicha información a la espera de un rescate. Para aprender más sobre este tipo de ataque consulta el siguiente blog y no dejes que secuestren tu información.

Detalle

Varios trabajadores han recibido un correo fraudulento en el que se les solicita presupuesto para realizar una obra. Este correo, aparentemente legítimo, suplanta la identidad de una conocida empresa de fotografía y, en su nombre, solicita el presupuesto. Este primer correo aparenta ser real, ya que emplea una comunicación correcta y ajustada al destinatario. Esta técnica se conoce como ataque dirigido.
 

Correo fraude de contacto


Con este primer correo, logran ganarse la confianza del receptor, quien desconocedor del fraude, responde al mensaje indicando sus servicios. 
En el segundo correo, el ciberdelincuente concreta la fecha y hora de una hipotética cita. Además, le envía un tercer correo con un archivo adjunto en el que se encuentran los detalles del proyecto que ha encargado y en el cuerpo del correo se indica la contraseña de dicho archivo adjunto.
 

Correo fraude interactuación con la víctima


Como se puede apreciar en la contestación de los ciberdelincuentes, detrás del engaño existen personas, ya que no se trata de correos automatizados. De esta forma es mucho más fácil que logren su objetivo para ganarse la confianza del receptor, ya que es difícil desconfiar de una redacción tan correcta y personalizada. Por tanto, si el destinatario descarga y ejecuta los documentos que ha recibido en el correo por parte del supuesto cliente, su dispositivo quedará infectado por ransomware, mostrando el siguiente mensaje:

 

Correo ransomware

 

El ransomware supone el secuestro virtual de la información que se encuentre en el equipo, solo pudiendo recuperarse pagando un rescate. 
 

Contenido realizado en el marco de los fondos del  Plan de Recuperación, Transformación y Resiliencia  del Gobierno de España, financiado por la Unión Europea (Next Generation).