Detectada una campaña fraudulenta de tipo phishing que suplanta la identidad de Endesa y cuyo propósito es instalar malware en el equipo de la víctima.

Es importante aclarar que se trata de una suplantación que utiliza la imagen de la empresa para cometer el fraude y, en ningún caso, afecta a la seguridad de los servicios de la entidad.

Recursos afectados

Cualquier cliente de Endesa que reciba un correo electrónico con las características descritas anteriormente.

Solución

¿Cómo desinfectar el ordenador?

Para eliminar la infección en principio se puede utilizar cualquier antivirus o antivirus auto-arrancable actualizado, pero dependiendo de la importancia de los datos perdidos y si se va a realizar denuncia, es recomendable realizar un clonado previo de los discos (copia de la información del disco duro en otro soporte) ya que se podrían eliminar archivos que pudiesen ser necesarios para una investigación.

Si dispones de una licencia de algún antivirus, también puedes contactar con su departamento de soporte técnico para que te indiquen la manera de proceder ya que muy probablemente tengan más información de otros usuarios afectados.

¿Cómo recuperar los datos cifrados?

El Instituto Nacional de Ciberseguridad de España (INCIBE) a través del CERT de Seguridad e Industria (CERTSI) dispone de un servicio de análisis y descifrado de ficheros afectados por ciertos tipos de ransomware.

Para poder identificar el tipo de virus y si los datos son recuperables, por favor contacten con el correo Dirección de contacto para reportar un incidente adjuntando dos o tres ficheros cifrados con extensión original .doc o .xls y un tamaño superior a 1 MB, y el fichero en el que se indica como realizar el pago para recuperar la información, normalmente es un fichero .txt o .html.

Debido a que la prestación de este servicio de análisis y descifrado se realiza en colaboración con una entidad externa a INCIBE y a pesar de tener acuerdo de confidencialidad con la misma, es recomendable que los ficheros que nos envíe no contengan información privada o confidencial, ya que serán compartidos con la citada entidad para su análisis.

Por último, si no lo has hecho ya, puedes poner la correspondiente denuncia de lo ocurrido ante las Fuerzas y Cuerpos de Seguridad del Estado: http://www.osi.es/es/reporte-de-fraude

Si el equipo no ha sido infectado

Si has recibido el correo pero no has ejecutado el archivo «ENDESA_FACTURA.js» tu equipo no se habrá infectado.

No bajes la guardia y permanece atento. Si se cuela en tu bandeja de entrada algún email cuyo asunto es igual o parecido al que hemos descrito en este correo, elimínalo directamente. En ningún caso accedas a enlaces que éste pueda facilitar ni descargues y/o ejecutes posibles ficheros que puedan traer adjuntos.

Realiza copias de seguridad, en un soporte que no esté conectado al ordenador (excepto al hacer la copia) de toda la información que consideres imprescindible para ti, para que en caso de que tu ordenador se vea afectado por algún incidente de seguridad, no la pierdas. Si necesitas ayuda para realizar esta tarea, no dejes de consultar los siguientes contenidos:

¿Has recibido el correo y accedido a las peticiones del mismo?

Si este es tu caso, es más que probable que tu ordenador esté infectado y, además, todos los ficheros almacenados en él estén cifrados.

Recomendaciones

Evita ser víctima de fraudes de tipo phishing siguiendo nuestras recomendaciones:

  • No abras correos de usuarios desconocidos o que no hayas solicitado, elimínalos directamente.
  • No contestes en ningún caso a estos correos.
  • Precaución al seguir enlaces en correos aunque sean de contactos conocidos.
  • Precaución al descargar ficheros adjuntos de correos aunque sean de contactos conocidos.
  • Antes de introducir nombre de usuario y contraseña en una web, debemos comprobar el certificado.

Certificado digital de Endesa

Detalles

Los correos electrónicos detectados tienen como remitente a «Factura electrónica de Endesa» y en el asunto para dar más credibilidad al correo comienza con el nombre y apellidos asociados a la cuenta de correo del destinatario seguido de “Factura” y unos caracteres alfanuméricos generados aleatoriamente, como por ejemplo «Nombre Apellidos Factura WYS2414BA7775376».

La siguiente imagen muestra el cuerpo del correo electrónico.

Correo fraudulento

El correo tiene un enlace con el literal “Consulta tu factura y consumo” que al acceder a él redirige a una página en la que tras unos segundos de espera se descarga un fichero comprimido llamado «ENDESA_FACTURA.zip»

Página web falsa

El fichero comprimido contiene un archivo JavaScript llamado «ENDESA_FACTURA.js» que al ser ejecutado instalará malware en el equipo de la víctima.

Archivo JavaScript

Según fuentes de la compañía el malware se trataría de un ransomware cuyo propósito es cifrar los ficheros del equipo infectado para impedir su acceso y posteriormente pedir un rescate.