El ataque de ramsonware REvil, perpetrado contra el software Kaseya VSA, ya demostró la importancia y el peligro de este tipo de amenazas dirigidas eminentemente a la cadena de suministro. Este ciberataque se aprovechó de una vulnerabilidad en el software, y utilizado por miles de empresas en todo el mundo, para cifrar información de las mismas y pedir un rescate a cambio.

Los investigadores de ESET detectan varias campañas de propagación de correos maliciosos que ha estado utilizando como gancho este reciente ciberataque para captar nuevas víctimas.

España ha sido el país con una mayor tasa de detección de correos maliciosos con un 14.9% del total, frente a otros como Estados Unidos (12%), Canadá (9.2%), Turquía y Reino Unido (ambas con un 7.2%). El mayor número de muestras detectadas en estas campañas de correos maliciosos no tiene por qué coincidir con el número de víctimas afectadas por el ransomware REvil en cada país, pero resulta interesante comprobar cómo España ha estado a la cabeza a la hora de detectar algunas de las muestras relacionadas con este envío de correos.

Entre todas las muestras detectadas y analizadas destacan las nombradas como Win32/Kryptik.HLPU y Win32/Rozena.AFJ, las cuales son responsables de buena parte de las detecciones y se comunican con el mismo centro de mando y control utilizado por los delincuentes.

ESET detecta numerosos correos electrónicos en los que se ofrecía una supuesta actualización para solucionar la vulnerabilidad que utilizaron los delincuentes para ejecutar el ransomware REvil y cifrar la información de alrededor de 1.500 empresas.

En estos correos se puede observar que, tanto en el asunto como en el cuerpo del mensaje, los delincuentes mencionan el reciente incidente de seguridad provocado por la vulnerabilidad en Kaseya VSA y proporcionan un enlace para descargar una supuesta actualización. El enlace parece ser correcto a primera vista, pero, en realidad, redirige al usuario a la descarga de Cobalt Strike, una herramienta legítima que se utiliza en tests de intrusión, pero que también es usada por los delincuentes para conseguir acceso remoto a sistemas comprometidos.

Josep Albors, director de investigación y concienciación en ESET España, explica que “resulta muy sencillo lanzar una campaña de correos de este estilo aprovechando un incidente de seguridad tan importante como el que vimos hace unos días con Kaseya VSA». «Es bastante probable que algunos de los usuarios que reciban estos email caigan en la trampa si no se andan con cuidado a la hora de reconocer la procedencia del email, por lo que resulta indispensable contar con una solución de seguridad que sea capaz de identificar estas amenazas por si terminamos pulsando donde no debemos”, avisa.