Por favor, cifra tu servidor

¿Cifrarías tu propio servidor por una parte del rescate?

Cuando el ransomware entra a una red corporativa usualmente lo hace mediante correo electrónico, vulnerabilidades de software o conexiones remotas sin protección. Tener un infiltrado para deliberadamente implementar malware parece inverosímil. Sin embargo, como demuestra la evidencia del mundo real, algunos atacantes piensan que este método para entregar ransomware es efectivo, y algunos atacantes ahora reclutan empleados de empresas al ofrecerles un porcentaje del rescate.

Una estrategia de entrega creativa

Puede sonar absurdo, pero algunos buscan cómplices mediante spam. Por ejemplo, un mensaje ofrece directamente “40%, 1 millón de dólares en bitcoin” para cualquiera que esté dispuesto a instalar e implementar el ramsomware DemonWare en el servidor Windows principal de su organización.

Los investigadores haciéndose pasar por cómplices interesados recibieron un enlace a un archivo junto con instrucciones para lanzar el malware. Sin embargo, la persona detrás del correo era, aparentemente, un cibercriminal sin experiencia; los investigadores no tuvieron problemas para hacerlo hablar. El actor de la amenaza en cuestión era un joven hombre de Nigeria quien había rastreado ejecutivos de alto nivel en LinkedIn para contactarlos. Abandonó su plan original (malware por correo electrónico) una vez que se dio cuenta de que tan sólidos son los sistemas de ciberseguridad.

¿Cuál es el problema de la estrategia?

Para convencer a sus objetivos de que es seguro participar, el actor de la amenaza afirmaba que el ransomware borraría toda evidencia del crimen, incluida cualquier grabación de seguridad potencial, y recomendaba eliminar el archivo ejecutable para evitar dejar pistas. Podríamos esperar que el criminal intentará engañar a sus cómplices (tal vez una vez que el servidor estuviera cifrado, no le importaría lo que le ocurriera a la persona que lo hizo) pero parece que no entendía cómo funcionan las investigaciones forenses digitales.

La decisión de utilizar DemonWare también delató su inexperiencia. Si bien los atacantes aún utilizan DemonWare, es en realidad malware poco sofisticado cuyo código fuente está disponible en GitHub. Al parecer, el creador del malware lo hizo para demostrar qué tan fácil es escribir ransomware.

Cómo mantenerse seguro

Si bien este es solo un ejemplo, un ejemplo específico, es completamente realista que haya infiltrados participando en un ataque de ransomware; sin embargo, es mucho más probable un escenario en donde alguien venda acceso al sistema de información de una organización que el escenario en donde alguien libera un malware en una red.

El mercado de acceso a las redes corporativas ha existido en la dark web por mucho tiempo, y los extorsionistas con frecuencia compran el acceso a otros cibercriminales, los llamados Initial Access Brokers. Son ellos los que podrían estar específicamente interesados en comprar datos para acceso remoto a la red o a los servidores en nube de la organización. Los anuncios para dichas compras cuyo objetivo son los empleados insatisfechos o despedidos inundan la dark web.

Para garantizar que nadie ponga en peligro la seguridad de tu empresa al dejar que los extorsionistas entren en sus redes, te recomendamos:

  • Adoptar una estrategia del mínimo privilegio.
  • Mantén registros cuidadosos de los intentos de acceso a la red y los servidores de la organización, y revoca derechos y cambia contraseñas cuando empleados dejen la empresa.
  • Instala en todos los servidores soluciones de seguridad que puedan contrarrestar el malware
  • Utiliza las soluciones Managed Detection and Response, las cuales ayudan a identificar la actividad sospechosa en tu infraestructura antes de que los atacantes puedan causar daños graves.
Consejos