Los ataques de ransomware siguen en aumento, cada vez encuentran formas más rebuscadas de infectar ordenadores. Últimamente se está viralizando otro malware de estas características. Esta vez bajo el nombre clave de “GoldenEye”.

Los ciberdelincuentes se presentan como solicitantes de empleo; y dentro de los curriculums esconden el virus. Con el objetivo de infectar las bases de datos de los departamentos de recursos humanos de las empresas. E incluso están proporcionando cartas de presentación en un esfuerzo por mejorar el camuflaje.

Esta no es más que otra variante de Petya. Solo que GoldenEye apunta a los departamentos de recursos humanos en un esfuerzo por explotar el hecho de que los empleados a menudo deben abrir correos electrónicos y archivos adjuntos de fuentes desconocidas.

Y esto es sólo el principio, los investigadores advierten que este tipo de prácticas solo seguirán en aumento con el paso del tiempo.

Como funciona el Malware GoldenEye

Los investigadores de ciberseguridad de Check Point han estado monitoreando esta campaña, la mayor cantidad de estos casos ocurrieron en Alemania. El modus operandi comienza con los correos electrónicos y los archivos adjuntos que afirman ser de solicitantes de empleo. El correo electrónico inicial contiene un mensaje corto del solicitante falso, dirigiendo a la víctima con dos archivos adjuntos.

La primera es una carta de presentación dentro de un PDF que en realidad no contiene ningún software malicioso, sino que pretende tranquilizar al objetivo de que se trata de un mensaje típico. Sin embargo, el segundo archivo adjunto es un archivo de Excel que supuestamente contiene un formulario de solicitud pero que de hecho contiene el malware.

Al abrir el archivo adjunto de Excel, el objetivo se presenta con un documento que afirma requerir habilitar macros para ver el archivo. Cuando las macros están activadas, GoldenEye ejecuta un código y comienza a cifrar los archivos de los usuarios antes de presentarlos con una nota de rescate usando texto amarillo, en lugar del rojo o verde utilizado por otras variantes de Petya.

La nota exige que la víctima pague un rescate de 1,3 bitcoins (alrededor de $ 1,000) con el fin de recuperar los archivos. Al igual que otras campañas cada vez más profesionales de ransomware y cybercriminal, los perpetradores detallan cómo la víctima puede adquirir bitcoins ilegales en la deep web; e incluso ofrecer la opción de intercambiar mensajes con un administrador de GoldenEye si tienen problemas con el proceso de pago o descifrado.

Quién hay detrás del Malware GoldenEye

Los investigadores creen que el desarrollador detrás de Petya y GoldenEye es un grupo de hackers que se autodenominan como Janus (aparentemente tomaron prestado los nombres de la película de James Bond del 1995; GoldenEye, cuyo villano era una organización criminal llamada Janus).

La organización de ciberdelincuencia detrás de la campaña GoldenEye también ha empezado a ofrecer esquemas para aprender a crear virus de ransomware; como un servicio que permite a cualquier pirata informático que quiera aprender a realizar estos ataques.

Una forma en que los usuarios pueden evitar ser víctimas de GoldenEye y otras variantes de ransomware es nunca permitir macros dentro de documentos de Microsoft Office y estar atentos a mensajes de correo electrónico inesperados o demasiado genéricos.