Los Ciberatacantes Usan la Suplantación del Royal Mail para Propagar Ransomware

El miércoles, los investigadores de Proofpoint publicaron un informe desvelando una campaña cibernética que se hacía pasar por el servicio postal británico, Royal Mail, para distribuir el ransomware Príncipe.

Esta variante de ransomware, que está disponible abiertamente en GitHub, incluye una cláusula de descargo de responsabilidad donde se indica que solo tiene fines educativos. Sin embargo, se ha armado en un ataque dirigido que afecta a organizaciones tanto en el Reino Unido como en los Estados Unidos.

El ataque del ransomware El Príncipe comenzó con atacantes que se hacían pasar por Royal Mail, utilizando formularios de contacto públicos en los sitios web de las organizaciones objetivo para enviar correos electrónicos engañosos. Estos correos contenían un PDF que enlazaba con un archivo ZIP alojado en Dropbox, atrayendo a las víctimas para que lo descargaran.

Dentro del archivo ZIP había un segundo ZIP protegido con contraseña, junto con un archivo de texto que revelaba la contraseña, lo que creaba una falsa sensación de seguridad para las víctimas.

Una vez abierto, un archivo de acceso directo ejecutó un código de JavaScript ofuscado que creó varios archivos en el directorio temporal del sistema. Este código utilizó scripts de PowerShell para eludir medidas de seguridad y establecer persistencia, corriendo cada 20 minutos mientras el ordenador estaba en reposo.

Cuando se ejecutó el ransomware, cifró los archivos de las víctimas con una extensión “.womp” y mostró una pantalla falsa de actualización de Windows para ocultar su actividad maliciosa.

Una nota de rescate en el escritorio exigía el pago de 0.007 Bitcoins (alrededor de $400) para la desencriptación. Sin embargo, el análisis reveló que el ransomware no tenía mecanismo de desencriptación ni capacidad de exfiltración de datos, lo que sugiere que fue diseñado para la destrucción más que para el lucro.

Críticamente, no existen mecanismos de desencriptación o capacidades de exfiltración de datos en esta campaña, lo que la hace más destructiva que el ransomware típico. La falta de identificadores únicos en la codificación del ransomware sugiere que incluso si las víctimas pagan el rescate, no hay garantía de recuperación de archivos.

Proofpoint no atribuyó esta actividad maliciosa a ningún actor de amenazas específico. La naturaleza de código abierto del ransomware Prince permite a varios actores modificarlo y desplegarlo libremente. El creador, conocido como SecDbg, ofrece abiertamente modificaciones para eludir medidas de seguridad, complicando aún más los esfuerzos de atribución.

Este incidente subraya el panorama en constante evolución de las amenazas de ransomware. Aunque estos ataques normalmente no se originan directamente desde los correos electrónicos, el uso de formularios de contacto como método de entrega refleja una tendencia más amplia.

Esto es particularmente preocupante ya que servicios postales como Royal Mail, UPS y FedEx son regularmente suplantados por actores malintencionados. Los clientes a menudo reciben llamadas telefónicas, mensajes de texto y correos electrónicos fraudulentos que parecen ser comunicaciones oficiales pero que en realidad son estafas, como señaló The Record.

Para ayudar a combatir este problema, Royal Mail ofrece una lista útil de estafas comunes que explotan su marca.

Se insta a las organizaciones a capacitar a sus empleados para que reconozcan comunicaciones sospechosas y reporten cualquier anomalía a los equipos internos de seguridad. A medida que las amenazas cibernéticas se vuelven cada vez más sofisticadas, la vigilancia y la educación son clave para prevenir posibles violaciones.