Skip to main content

Los ciberdelincuentes se aprovechan de COVID-19 para propagar malware

Malware covid-19

Gettyimages

03/04/2020 - 18:23

Los temas de actualidad despiertan el interés de los usuarios, y si esa actualidad gira en torno a una de las pandemias más graves de la historia, el interés está asegurado.

Los ciberdelicuentes están aprovechando el lógico interés que genera esta pandemia para propagar un potente ransomware que se establece en el registro de arranque los ordenadores que infecta solicitando un rescate por recuperar los datos que se guardan en ese equipo.

Según el barómetro de seguridad de ESET, España y latinoamérica han sido los objetivos preferidos de los atacantes durante estas últimas semanas, en las que se han utilizado todo tipo de ransomware, malware bancario y campañas de phishing relacionado con la COVID-19.

La amenaza más habitual durante estos días está protagonizada por una serie de correos en los que se suplanta la identidad de organismos oficiales como el Ministerio de Sanidad o la Dirección General de Tráfico con supuestas recomendaciones sanitarias o sobre cómo actuar durante el periodo de confinamiento.

Estos correos contenían archivos o enlaces que servían de puerta de entrada para el ataque que se producía en forma de ransomware Netwalker que podrían haber atacado infraestructuras sanitarias, así como MBRLockers, que se instalan en el registro de arranque maestro de Windows (MBR) e impide que el ordenador arranque el sistema operativo.

Los MBRLockers derivan de amenazas tan importantes como Petya y GoldenEye, que sembraron el caos en 2017 siguiendo la estela de Wannacry que causó más de 1.400 millones de dólares en pérdidas entre las principales empresas del mundo.

La falta de escrúpulos de los ciberdelincuentes ha llegado hasta el límite de bautizar como coronavirus a uno de estos malwares utilizados para extorsionar a usuarios y empresas, cuyo ejecutable se materializa como Covid-19.exe.

Avast y SonicWall analizaron el MBRLocker Coronavirus y descubrieron que ejecuta su ataque creando un proceso en segundo plano que respalda el MBR de la unidad de arranque y lo reemplaza con un MBR modificado que impide el acceso al sistema.

Esta amenaza ha encontrado en las redes sociales y memes un caldo de cultivo perfecto, difundiéndose masivamente en forma de memes, chistes o mensajes relacionados con el coronavirus. Al descargarlos o abrirlos se ejecuta el script y la amenaza se instala en el equipo quedando bloqueado.