Ejemplo de falso secuestro de ransomware

Ejemplo de falso secuestro de ransomware
Rescate pos secuestro (ransomware)
Modificado por última vez en Sábado, 29 Diciembre 2018 20:58
(0 votos)

Correo electrónico pide dinero en Bitcoins a cambio de no bloquear el ordenador

Ayer recibí un mensaje de ransomware (software de secuestros) que piden dinero amenazando que si no lo pagas te bloquearán el dispositivo (el que sea, PC, portátil u smarphone). Ya había recibido otros de este tipo pero este me sorprendió al incluir una cuenta y una contraseña (que iba como el asunto del correo - ver más abajo imágenes) que suelo utilizar en sitios web que piden credenciales para descargar algún producto (ya sean ebooks, imágenes u otros tipos).

Antes de entrar en pánico he de aclarar que este tipo de mensajes de correo son oportunistas y juegan con nuestros miedos y, aunque dicen tener nuestra contraseña del dispositivo, no es verdad. Por ejemplo los PC y portátiles con el sistema operativo Windows utilizan como credencial una cuenta de correo de Hotmail, del tipo Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo., luego cualquier otro correo que como yo utilicéis para otros menesteres no podrá ser usado para romper el acceso a nuestra máquina y bloquearla.

Si recibís un correo de este tipo y, como digo, antes de entrar en pánico, comprobar que la cuenta a la que os lo envía el malhechor no tiene nada que ver con las credenciales de acceso a vuestro ordenador (si es Windows debe de ser una cuenta tipo @hotmail.com). Si es así podéis enviarlo directamente a la papelera.

Vamos a analizar con detalle el mensaje, este es el texto tal cual lo recibí:

Hello!

I have very bad news for you.
03/09/2018 - on this day I hacked your OS and got full access to your account Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. On this day your account Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. has password: mi_contraseña

So, you can change the password, yes.. But my malware intercepts it every time.

How I made it:
In the software of the router, through which you went online, was a vulnerability.
I just hacked this router and placed my malicious code on it.
When you went online, my trojan was installed on the OS of your device.

After that, I made a full dump of your disk (I have all your address book, history of viewing sites, all files, phone numbers and addresses of all your contacts).

A month ago, I wanted to lock your device and ask for a not big amount of btc to unlock.
But I looked at the sites that you regularly visit, and I was shocked by what I saw!!!
I'm talk you about sites for adults.

I want to say - you are a BIG pervert. Your fantasy is shifted far away from the normal course!

And I got an idea....
I made a screenshot of the adult sites where you have fun (do you understand what it is about, huh?).
After that, I made a screenshot of your joys (using the camera of your device) and glued them together.
Turned out amazing! You are so spectacular!

I'm know that you would not like to show these screenshots to your friends, relatives or colleagues.
I think $704 is a very, very small amount for my silence.
Besides, I have been spying on you for so long, having spent a lot of time!

Pay ONLY in Bitcoins!
My BTC wallet: 1E5XMWQtyYnCY4LkLnjMtqBMQNnC1KS3m3

You do not know how to use bitcoins?
Enter a query in any search engine: "how to replenish btc wallet".
It's extremely easy

For this payment I give you two days (48 hours).
As soon as this letter is opened, the timer will work.

After payment, my virus and dirty screenshots with your enjoys will be self-destruct automatically.
If I do not receive from you the specified amount, then your device will be locked, and all your contacts will receive a screenshots with your "enjoys".

I hope you understand your situation.
- Do not try to find and destroy my virus! (All your data, files and screenshots is already uploaded to a remote server)
- Do not try to contact me (you yourself will see that this is impossible, I sent you an email from your account)
- Various security services will not help you; formatting a disk or destroying a device will not help, since your data is already on a remote server.

P.S. You are not my single victim. so, I guarantee you that I will not disturb you again after payment!
This is the word of honor hacker

I also ask you to regularly update your antiviruses in the future. This way you will no longer fall into a similar situation.

Do not hold evil! I just do my job.
Good luck.

En principio el sinvergüenza explica que utilizó nuestro router para acceder a nuestro dispositivo, meter un troyano, copiar todo el disco duro y subirlo a servidor remoto en la nube: "Tengo toda su libreta de direcciones, historial de sitios de visualización, todos los archivos, números de teléfono y direcciones de todos sus contactos", se lee al traducir.

Luego continúa diciendo que tiene capturas de pantalla de los sitios porno que visito (no visito ninguno) e incluso una foto tomada con la cámara del dispositivo mientras me divierto (cuando la cámara la tengo tapada desde hace años con un plástico que me regaló una empresa de informática), para acabar amenazando con mostrar esas imágenes a amigos y familiares.

A continuación da instrucciones para que en un plazo de 48 horas ingrese 704 dólares a un monedero de Bitcoins: "Mi billetera BTC: 1E5XMWQtyYnCY4LkLnjMtqBMQnnC1KS3m3"

Haciendo una búsqueda en Google, esa billetera o monedero ya está reportada como fraudulenta con 99 informes hasta el momento, cuando accedí ayer había 68 osea que el mensaje spam sigue difundiéndose masivamene. Tiene ingresados 0.39685529 Bitcoins, que son 1.331,38 euros) cuando lo miré ayer tenía 0.21599729 BTC (726,10 euros), osea que dada la cantidad que pide el muy cabr... por lo menos han picado dos personas.

Uno de los afectados dice:

"Obviamente, esta es la mayor tontería, el pago con Bitcoin es anónimo, por lo que el estafador no puede saber de quién proviene el dinero (no hay remitente). La historia como se describe en el correo es por lo tanto incorrecta y no se basa en verdades. He estado recibiendo estos correos electrónicos durante meses desde que tengo un PW (que no he usado en una década y NUNCA con la dirección de correo electrónico a la que dicen que pertenece... ha pasado tanto tiempo que ni siquiera lo recuerdo. Lo usé para :-) aparentemente aparecido en la darkweb".

Análisis de la procedencia del mensaje de correo

Para intentar averiguar desde que cuenta de correo nos manda el mensaje (que en principio dice que nos lo envía desde la nuestra), vamos a ver el Encabezado del mensaje a que podéis acceder si utilizaís Outlook como se muestra en las imágenes:

opciones de mensaje en Outlook

ID mensaje de ransomware

Received: from bband-dyn172.178-41-213.t-com.sk ([178.41.213.172])
by dam14.wanadoo.es with esmtp (Exim 4.60)
(envelope-from <Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.>)
id 1gch48-00073T-HY
for Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.; Fri, 28 Dec 2018 02:35:57 +0100
Message-ID: <003801d49e56$054d98f1$13d554be@kpyvbjvj>
From: <Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.>
To: "mi_contraseña" <Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.>
Subject: *** SPAM ***Hackers know your password mi_contraseña. Password must be changed now.
Date: 28 Dec 2018 02:16:56 +0000
MIME-Version: 1.0
Content-Type: text/plain;
charset="ibm852"
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-Spam: Spam:***** (0571069)
X-Antivirus: Avast (VPS 181228-0, 28/12/2018), Inbound message
X-Antivirus-Status: Clean
X-Antispam: spam, score=99
X-Antivirus: avast! (VPS 181228-0, 28/12/2018), Inbound message
X-Antivirus-Status: Clean

Por el servidor y la IP vemos que se ha enviado a través de bband-dyn172.178-41-213.t-com.sk ([178.41.213.172]), que es un servicio de correo de una operadora de telefonía de Eslovaquia (sk), llamada Slovak Telekom. Ha sido retransmitido a través de dam14.wanadoo.es, que es una filial de Orange, antes Amena, de ahí el final de mi correo @amena.com. Al final del texto vemos que mi antivirus Avast me lo ha marcado como spam. Si recibís un mensaje como este posiblemente estos datos os los pida la Policía.

Conclusión

La realidad es que se trata de una campaña de ingeniería social. Es decir que no existe ningún vídeo o foto, ningún malware y lo único que hay por parte del atacante es una contraseña que había obtenido de alguna de las múltiples fugas de información que dejan a millones de usuarios a nivel mundial expuestos a diversos tipos de ataques.

Desde mi parte yo no puedo averiguar mucho más, aunque posiblemente los cuerpos de ciberseguridad tanto de la Policía Nacional como de la Guardia Civil ya estarán tras la pista del malhechor/es.


Comentarios (0)

No hay comentarios escritos aquí

Deja tus comentarios

  1. Publicar comentario como invitado. Regístrate o ingresaa tu cuenta
Archivos adjuntos (0 / 3)
Compartir su ubicación
close

Recibe gratis nuestros nuevos artículos!

Serás el primero en conocer las novedades y noticias que pasan en Internet, nuestros tutoriales, trucos y más.

Escribe tu email:

Se abrirá una nueva ventana deFeedBurner a la izquierda de la página y habrás de validar un Captcha.

Lee nuestras Política de privacidad & Política de cookies
Puedes darte de baja de la lista de correo electrónico en cualquier momento