Tiempo de leer: 5 minutos
ACTUALIZACIÓN Y CORRECCIÓN: Konica Minolta C224e no le envía correos electrónicos de phishing peligrosos. Los piratas informáticos malintencionados han creado un correo electrónico y un archivo diseñado para parecerse a un documento escaneado legítimo de una Konica Minolta C224e, sin embargo, el archivo no proviene de una Konica Minolta C224e y no contiene un documento escaneado. Querrá verificar la fuente del correo electrónico.
Ha sido un mes de agosto y septiembre muy ocupado para el Laboratorio de inteligencia de amenazas de Comodo, que incluye un descubrimiento de gran éxito sobre los "líderes" superiores de TI y seguridad de Equifax
y el descubrimiento de 2 nuevos ataques de phishing de ransomware en agosto (más sobre los posteriores).
La última exclusiva es el descubrimiento del laboratorio de una ola de finales de septiembre de nuevo ransomware ataques de phishing, basados en ataques descubiertos por primera vez por el Comodo Inteligencia de amenaza Laboratorio este verano. Esta nueva campaña imita a los proveedores de su organización e incluso a su confiable copiadora / escáner / impresora de oficina del líder de la industria Konica Minolta. Utiliza la ingeniería social para involucrar a las víctimas y está cuidadosamente diseñado para superar las herramientas basadas en algoritmos de aprendizaje automático de los principales proveedores de seguridad cibernética, infectar sus máquinas, cifrar sus datos y extraer un rescate de bitcoin. Aquí está la pantalla de demanda de rescate vista por las víctimas en los ataques del 18 al 21 de septiembre de 2017:
Esta nueva ola de ataques de ransomware utiliza una botnet de computadoras zombies (generalmente conectadas a la red a través de ISP conocidos) para coordinar un ataque de phishing que envía los correos electrónicos a las cuentas de las víctimas. Como con el IKARUS ataques dilapidados a principios y finales de agosto de 2017, respectivamente, esta campaña utiliza una carga útil de ransomware "Locky".
El mayor de los dos ataques en este último Locky Ransomware wave se presenta como un documento escaneado que se le envía por correo electrónico desde el escáner / impresora de su organización (pero en realidad proviene de una máquina controladora de piratas informáticos externa). Hoy en día, los empleados escanean documentos originales en el escáner / impresora de la empresa y se envían por correo electrónico a ellos mismos y a otras personas como una práctica estándar, por lo que este correo electrónico cargado de malware parece bastante inocente pero es cualquier cosa menos inofensivo (y definitivamente no es de la copiadora Konica Minolta de su organización escáner). ¿Qué tan inofensivo? Vea el correo electrónico a continuación.
Un elemento de la sofisticación aquí es que el correo electrónico enviado por piratas informáticos incluye el número de modelo de escáner / impresora que pertenece al Konica Minolta C224e, uno de los modelos más populares entre los escáneres / impresoras comerciales, comúnmente utilizado en Europa, América del Sur y América del Norte. , Asia y otros mercados globales.
Ambas campañas comenzaron el 18 de septiembre de 2017 y parecen haber terminado efectivamente el 21 de septiembre de 2017, pero todos deberíamos esperar ataques similares en el futuro cercano.
Los documentos cifrados en ambos nuevos ataques de septiembre tienen un ".ykcol"Y los archivos" .vbs "se distribuyen por correo electrónico. Esto muestra que los autores de malware están desarrollando y cambiando métodos para llegar a más usuarios y evitar los enfoques de seguridad que utilizan el aprendizaje automático y el reconocimiento de patrones.
Aquí hay un mapa de calor del primer ataque nuevo el 18 de septiembre de 2017, con el "Mensaje de KM_C224e"Línea de asunto seguida por los países de origen de las máquinas utilizadas en la botnet para enviar los correos electrónicos:
| País | Suma: recuento de correos electrónicos |
| Vietnam | 26,985 |
| México | 14,793 |
| India | 6,190 |
| Indonesia | 4,154 |
Los ISP en general fueron cooptados fuertemente en este ataque que apunta tanto a la sofisticación del ataque como a la defensa cibernética inadecuada en sus puntos finales y con su propia red y soluciones de seguridad de sitios web. Al igual que con los ataques de agosto, se utilizaron muchos servidores y dispositivos en Vietnam y México para ejecutar los ataques globales. Estos son los principales propietarios de rango detectados en el ataque "Mensaje de KM_C224e":
| Dueño de rango | Suma: recuento de correos electrónicos |
| Vietnam Correos y telecomunicaciones (VNPT) | 18,824 |
| VDC | 4,288 |
| Lusacell | 3,558 |
| Cablemas Telecomunicaciones SA de CV | 2,697 |
| Turk Telekom | 2,618 |
| Cablevision SA de.CV | 2,207 |
El más pequeño de los 2 puntos en esta campaña de septiembre envía correos electrónicos de phishing con el asunto, "Estado de la factura" y parece ser de un proveedor local, incluso incluye un saludo de "Hola", una solicitud cortés para ver el archivo adjunto, y un firma y contacte detalles de un empleado vendedor ficticio. Nuevamente, observe cuán familiar es el correo electrónico para
cualquier persona involucrada con finanzas o que trabaje con proveedores externos:
Cuando se hace clic en el archivo adjunto, aparece como un archivo comprimido para desempaquetar:
Aquí puede ver una muestra de las secuencias de comandos, que es bastante diferente a la utilizada en los ataques a principios de agosto de 2017.
El rango de demanda de rescate de .5 bitcoins a 1 bitcoin en ambos casos nuevos refleja el de los ataques de agosto. El 18 de septiembre de 2017, el valor de 1 bitcoin equivalía a poco más de $ 4000.00 dólares estadounidenses (y 3467.00 euros).
Para el ataque del 18 de septiembre de 2017 con el "Estado de la factura"Línea de asunto, las Américas, Europa, India y el sudeste asiático se vieron fuertemente afectadas, pero África, Australia y muchas islas también fueron afectadas por estos ataques.
Los expertos en phishing y troyanos del Laboratorio de Inteligencia de Amenazas de Comodo (parte de Comodo Threat Research Labs) detectaron y analizaron más de 110,000 instancias de correos electrónicos de phishing en puntos finales protegidos de Comodo dentro de los primeros tres días de esta campaña de septiembre de 2017.
Los archivos adjuntos se leyeron en los puntos finales protegidos de Comodo como "archivos desconocidos", se pusieron en contención y se les negó la entrada hasta que fueron analizados por la tecnología de Comodo y, en este caso, por el laboratorio. expertos humanos.
El análisis del laboratorio de los correos electrónicos enviados en el "Mensaje de KM_C224e"La campaña de phishing reveló los datos de este ataque: se utilizaron 19,886 direcciones IP diferentes de 139 dominios de nivel superior de código de país diferentes.
La "Estado de la factura”Ataque utilizó 12,367 direcciones IP diferentes de 142 dominios de código de país. Hay un total de 255 dominios de código de país de nivel superior mantenidos por la Autoridad de Números Asignados de Internet (IANA), lo que significa que estos dos nuevos ataques apuntan a más de la mitad de los estados nacionales en la tierra.
“Estos tipos de ataques utilizan tanto botnets de servidores como PC de individuos y nuevas técnicas de phishing que utilizan ingeniería social para empleados y gerentes desprevenidos. Esto permite a un equipo muy pequeño de piratas informáticos infiltrarse en miles de organizaciones y vencer a la inteligencia artificial y al aprendizaje automático herramientas de protección de punto final, incluso aquellos que lideran el reciente Cuadrante Mágico de Gartner ". dijeron Fatih Orhan, jefe del Laboratorio de Inteligencia de Amenazas de Comodo y Comodo Laboratorios de investigación de amenazas (CTRL) “Debido a que el nuevo ransomware aparece como un archivo desconocido, se necesita una postura de seguridad de 'denegación predeterminada' al 100% para bloquearlo o contenerlo en el punto final o en el límite de la red; también requiere ojos humanos y análisis para determinar en última instancia qué es, en este caso, un nuevo ransomware ".
¿Quieres una inmersión más profunda en los datos de ataque? Consulte el nuevo laboratorio de inteligencia de amenazas de Comodo "INFORME ESPECIAL: SEPTIEMBRE DE 2017 - LOS ATAQUES DE PESCA DE RANSOMWARE SE ADJUDICAN A LOS EMPLEADOS, HERRAMIENTAS DE APRENDIZAJE DE BEAT MACHINE (Parte III de la serie IKARUSdilapidated and Locky Ransomware en evolución). " El Informe especial es uno de los muchos incluidos con una suscripción gratuita a Actualizaciones de laboratorio en https://comodo.com/lab. Proporciona una cobertura en profundidad de la ola de ataques del 18 al 21 de septiembre de 2017, con más análisis y apéndices que incluyen más detalles sobre las fuentes y las máquinas utilizadas en los ataques. Su suscripción a Actualizaciones de laboratorio también incluye las partes I y II de la serie "Informe especial: IKARUSdilapidated Locky Ransomware" y también le proporciona el "Actualización semanal"Y" Actualización especial "videos. Suscríbase hoy a comodo.com/lab.
PRUEBE LA SEGURIDAD DE SU CORREO ELECTRÓNICO OBTENGA SU TARJETA DE SEGURIDAD INSTANTÁNEA GRATIS Fuente: https://blog.comodo.com/comodo-news/threat-lab-exclusive-if-your-konica-minolta-copier-scanner-calls-dont-answer/
