tales-ransomware-16-01

Los dos vectores de infección principales que utiliza el ransomware son los exploits y los correos de spam. Así como en mi último artículo os enseñé un par de ejemplos en los que se empleaban exploits, en esta ocasión nos centraremos en el spam.

Las campañas de spam que utiliza el ransomware suelen estar protagonizadas por mensajes acompañados de archivos adjuntos comprimidos (.zip) que contienen el código malicioso que debe ejecutar el usuario. Estos archivos pueden ser de tipo PE (normalmente un archivo con extensión .exe), un script (.js, .vbs, .wsf, etc.) o un documento de Word (comprimido o no). Otra estrategia (bastante exitosa para los ciber-delincuentes, tal y como vimos en la campaña de los recibos falsos) es incluir un enlace en el correo que lleve a la víctima a una página Web desde la que descargar el archivo comprimido.

Pero, ¿cual es la frecuencia de estos ataques? Según nuestros datos, en los último dos meses hemos neutralizado bastantes ataques de ransomware que utilizaban o bien archivos PE o scripts recibidos vía correo electrónico (como archivos adjuntos o a través de enlaces a páginas Web).

Tales from Ransomwhere 4 photos

En total, hemos bloqueado 22.665 intentos de infección. Tened en cuenta que estamos hablando de los ataques que consiguieron superar el resto de barreras de protección existentes (archivos de firmas, análisis heurístico, filtros de webs maliciosas, etc.), por que el número real de ataques es todavía mayor. Como podéis ver en la gráfica, se observa un patrón determinado: a 2 días en los que se bloquea un menor número de intentos de infección, le siguen 5 días en los que el número de infecciones aumenta. Sí, por lo que parece, a los ciber-delincuentes también les gusta disfrutar de sus fines de semana. La verdad es que resulta algo normal si tenemos en cuenta que hoy en día su principal objetivo son las empresas, y que estas son más activas de lunes a viernes.

La gráfica siguiente muestra los ataques protagonizados por documentos de Word maliciosos, bastantes menos frecuentes que los protagonizados por scripts maliciosos. Durante el mismo periodo de tiempo bloqueamos 3.493 intentos de infección.

Tales from Ransomwhere 4 photo 2

Como podéis ver, la gráfica presenta el mismo patrón relacionado con los fines de semana. Pero Word no es el único tipo de archivo de Microsoft Office que se emplea en estos ataques, existen otros que, aunque menos frecuentes, aparecen de vez en cuando. Por ejemplo, en los últimos dos meses sólo hemos visto una campaña de spam que utilizase Excel:

 

Tales from Ransomwhere 4 photo 3

Y esto es todo por hoy, en un par de semanas publicaremos el próximo artículo de esta serie, en el que explicaremos cómo aprovecharse de alguna de las técnicas empleadas por el ransomware para neutralizar sus infecciones.