03 febrero 2017

El currículum de un impostor: ciberdelincuentes se hacen pasar por candidatos para robar a las empresas

Elegir a un nuevo empleado para un trabajo conlleva un largo proceso en el que hay que revisar la trayectoria de cientos de candidatos y valorar qué currículum esconde el mejor perfil para el puesto. A las horas invertidas en este reto hay que sumar ahora nuevos peligros propios de la era informática. Porque sí, aquí también llegan los ciberatacantes. Por ello, siempre es importante contar con una protección adecuada, así podremos navegar sin riesgos en internet evitando a los peores invitados sorpresa, capaces de llegar con ‘ransomware’ debajo del brazo. Como sucede con GoldenEye, el ‘software’ malicioso capaz de convertir la búsqueda de un nuevo trabajador en un verdadero drama.
Se trata de una nueva campaña para distribuir este tipo de ‘software’ malicioso que se caracteriza por pedir un rescate (‘ransom’ en inglés) si el usuario quiere liberar su dispositivo. Para atacar a las compañías, los ciberatacantes utilizan nada más y nada menos que las solicitudes de puestos de trabajo. Engañar a los departamentos de recursos humanos, encargados de seleccionar nuevos perfiles, es fácil: no en vano, reciben muchos mensajes de origen desconocido y el ‘malware’ puede pasar desapercibido entre ellos. Así, muchos ciberatacantes apuestan ahora por hacer que sus víctimas sean los servidores de empresas, porque los sistemas de correo de Google y Microsoft filtran muy bien los mensajes de ‘spam’ en las bandejas de entrada de los usuarios particulares.

Los directivos de recursos humanos ya son conscientes de que pueden recibir algún mensaje malicioso entre tanto currículum bien redactado. Incluso hay un cierto ‘modus operandi’ advertido: el virus se transmite en un documento adjunto, que equivaldría al del currículum, pero para no levantar sospechas se adjunta otro que contiene la típica carta de presentación o de motivación.

En realidad, se trata de GoldenEye, una variante de Petya (el troyano que se hizo famoso por difundirse a través de Dropbox) capaz de imitar los mensajes que se mandan para solicitar un puesto de trabajo. GoldenEye funciona de forma parecida: si Petya mandaba un mensaje a la dirección donde se recogían los currículums invitando a descargar el del supuesto usuario desde Dropbox, GoldenEye disimula enviando la supuesta carta de presentación, en formato pdf, y una hoja de cálculo infectada. Detrás de este ataque se encuentra un cibercriminal apodado Janus, como la organización criminal de la película ‘GoldenEye’.
La hoja de cálculo sigue siempre el mismo patrón para despistar: el nombre del archivo lleva el de un falso solicitante. En su interior hay un mensaje en el que se le pide al responsable de recursos humanos que habilite el contenido del archivo. Cuando la persona pincha, el código reinicia l computadora y empieza a cifrar los archivos. A la vez, el usuario recibe una nota de rescate que invita a pagar para desbloquear la terminal.

Al cifrar el disco rígido, acceder a cualquiera de los archivos que se encuentre en este se convierte directamente en un imposible. Para pagar el rescate, hay que entrar en un portal situado en la web profunda, introducir un código que se ha mostrado durante el ataque y abonar la cantidad, que ahora mismo se encuentra en unos 1,3 bitcoines, aproximadamente unos 1.100 euros al cambio actual.
Alemania es uno de los países en los que este singular ‘ransomware’ que simula ser una solicitud de empleo está protagonizando más casos. Allí, el nombre del solicitante va seguido de la palabra ‘bewerbung’, el término germano para ‘solicitud’. Es más, los atacantes enviaron hojas de cálculo con nombres de distintas personas, haciendo poco probable que en las compañías llegaran a sospechar. Dichos documentos contienen en realidad la imagen de una flor con la palabra ‘Loading’ (“Cargando” en inglés). En su interior, un mensaje pide que se habilite cierto contenido. El resto de la historia ya la conocemos.
En cuanto a cómo se debe hacer frente a este y otros ataques de ‘ransomware’, existe una serie de consejos que se pueden aplicar tanto a GoldenEye como a otros tipos de ‘malware’: tener actualizado el ‘software’ corporativo, trasladar la información diaria a una ubicación segura y formar a los empleados sobre qué deben abrir y de qué deben desconfiar son solo algunos de ellos.

Además, cuando Petya se dio a conocer, se desarrollaron muy rápido una serie de herramientas para liberar los equipos sin necesidad de pagar el rescate, así que no debería de extrañarnos que más pronto que tarde aparezca algo similar para tratar el GoldenEye. Todo, por supuesto, partiendo de la base de que es necesario contar con una protección adecuada.

Muchos analistas en ciberseguridad creen que los ataques de ‘ransomware’ se multiplicarán en este 2017. El informe ‘Mobile Users at Risk’ de Allot Communcations revela que alrededor del 0,7 % de los propietarios de un móvil en España ha sufrido algún ataque de ‘ransomware’ en su dispositivo. Mientras tanto, el porcentaje alcanza el 0,11 % a nivel global (seis veces menos). Y también estamos viendo cómo las empresas lo están sufriendo en sus propias carnes a través de no tan inocentes currículums. Nada como formar al personal y tener cuidado a la hora de pinchar para evitar sustos: a nadie le gusta ceder a un chantaje ni que su solicitud de empleo se vea atrasada por culpa de un ciberdelincuente sin escrúpulos.

Fuentes:

No hay comentarios: