Configuración de Cookies

Cookies técnicas

Activas
ver cookies

Son aquellas que permiten al usuario la navegación a través de la página web y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios.

Cookies analíticas

Inactivas
ver cookies

Son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios del sitio web. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad del sitio web, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

AVISO DE COOKIES

Esta página web, propiedad de SPRI, utiliza cookies propias y de terceros con la finalidad de permitir su navegación, elaborar información estadística, analizar sus hábitos de navegación y remitirle publicidad en función de los mismos. Puedes hacer clic en Aceptar para permitir el uso de todas las cookies o puedes elegir qué tipo de cookies deseas aceptar o rechazar mediante la opción Configurar Cookies. También, puedes obtener más información en nuestra Política de Cookies.Configurar cookiesAceptar

Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Hemos pirateado su web y extraído sus datos

Fecha de publicación: 09/07/2020
Se ha identificado una campaña activa de correos maliciosos que alertan a los destinatarios sobre el compromiso de sus respectivas páginas web.

Se ha identificado una campaña activa de correos maliciosos que alertan a los destinatarios sobre el compromiso de sus respectivas páginas web, amenazando con dar difusión a la información sustraída. en este caso la base de datos, salvo que se acceda a realizar un pago en bitcoins.

Todos los casos analizados tienen instalado el CMS Wordpress por lo que cabe la posibilidad de que los atacantes hayan comprometido la seguridad de los dominios aprovechando alguna de las últimas vulnerabilidades publicadas. El pasado 10 de junio, Wordpress publicó la versión 5.4.2, la cual corrige distintas vulnerabilidades que pueden ser explotadas para comprometer la seguridad de los dominios.

A continuación, procedemos a detallar los datos más característicos y el funcionamiento de la campaña:

1. Los correos tienen como remitente una cuenta del propio dominio afectado, siendo esta probablemente la de administración.

2. No tienen establecido ningún asunto.

3. Incluye el siguiente mensaje:

¡ENVÍE ESTE CORREO ELECTRÓNICO A ALGUIEN DE SU EMPRESA QUE PUEDA TOMAR DECISIONES IMPORTANTES!

Hemos pirateado su sitio web y extraído sus bases de datos.

¿Cómo pasó esto?

Nuestro equipo ha encontrado una vulnerabilidad dentro de su sitio que pudimos explotar. Después de encontrar la vulnerabilidad, pudimos obtener las credenciales de su base de datos, extraer toda su base de datos y trasladar la información a un servidor offshore.

¿Qué significa esto?

Realizaremos sistemáticamente una serie de pasos para dañar totalmente su reputación. Primero, su base de datos se filtrará o se venderá al mejor postor que utilizará con cualquiera que sea su intención. A continuación, si se encuentran correos electrónicos, se les enviará por correo electrónico que su información se ha vendido o filtrado y su sitio tuvo la culpa, dañando así su reputación y teniendo clientes / asociados enojados con cualquier enojo clientes / asociados lo hacen. Por último, los enlaces que haya indexado en los motores de búsqueda se desindexarán en función de las técnicas de blackhat que utilizamos en el pasado para desindexar nuestros objetivos.

¿Cómo paro esto?

Estamos dispuestos a abstenernos de destruir la reputación de su sitio por una pequeña tarifa. La tarifa actual es de .321 BTC en bitcoins ($ 3000 USD).

Envíe el bitcoin a la siguiente dirección de Bitcoin (copie y pegue ya que distingue entre mayúsculas y minúsculas):

XXXXXXXXXXXXXXXXXXXXXXXXXXXX

Una vez que haya pagado, nos informaremos automáticamente de que fue su pago. Tenga en cuenta que debe realizar el pago dentro de los 5 días posteriores a la recepción de este aviso o la pérdida de la base de datos, los correos electrónicos enviados y la eliminación del índice de su sitio COMENZARÁN

¿Cómo obtengo Bitcoins?

Puede comprar fácilmente bitcoins a través de varios sitios web o incluso fuera de línea desde un cajero automático de Bitcoin. Le sugerimos https://cex.io/ para comprar bitcoins.

¿Qué pasa si no pago?

Si decide no pagar, comenzaremos el ataque en la fecha indicada y lo mantendremos hasta que lo haga, no hay contramedida para esto, solo terminará desperdiciando más dinero tratando de encontrar una solución. Destruiremos por completo su reputación entre Google y sus clientes.

Esto no es un engaño, no responda a este correo electrónico, no intente razonar o negociar, no leeremos ninguna respuesta. Una vez que haya pagado, dejaremos de hacer lo que estábamos haciendo y nunca más volverá a saber de nosotros.

4. La dirección de la cartera de bitcoin que aparece en el mensaje varía en cada correo con el fin de dificultar el seguimiento de la campaña.

Se recomienda no realizar ningún tipo de pago y contactar con el responsable de la gestión de la página web para que realice un análisis de esta con el fin de identificar evidencias de compromiso y tomar en tal caso, las medidas técnicas oportunas para evitar que vuelva a suceder. 

Así mismo, en el caso de desear interponer una denuncia, se puede realizar personándose en la comisaría más cercana, o remitiendo la información a la Sección Central de Tecnologías de la Información (SCDTI) de la Ertzaintza enviando un email a [email protected] 

Desde el Basque Cybersecurity Centre hemos procedido a tomar las medidas técnicas oportunas para mitigar la propagación de la amenaza.

Si recibes un email de estas características, o ante cualquier duda o problema relacionado con la ciberseguridad, puedes ponerte en contacto con nosotros a través del número de teléfono gratuito 900 104 891 o enviando un e-mail a [email protected]