{"id":22466,"date":"2021-08-02T09:39:46","date_gmt":"2021-08-02T15:39:46","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=22466"},"modified":"2021-08-02T09:39:46","modified_gmt":"2021-08-02T15:39:46","slug":"ransomware-group-policies","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/ransomware-group-policies\/22466\/","title":{"rendered":"Las pol\u00edticas de grupo permiten que el ransomware se propague"},"content":{"rendered":"

La creaci\u00f3n de ransomware<\/em> se convirti\u00f3 en una industria clandestina<\/a> hace alg\u00fan tiempo, con todo y servicio de soporte t\u00e9cnico, centros de prensa y compa\u00f1as publicitarias. Como sucede con cualquier otra industria, para crear un producto competitivo es necesario la mejora continua. LockBit, por ejemplo, es el m\u00e1s reciente de una serie de grupos de cibercriminales que publicitan la capacidad de automatizar la infecci\u00f3n de computadoras locales mediante un controlador de dominio.<\/p>\n

LockBit sigue el modelo de Ransomware como Servicio (RaaS) mediante el cual proporciona a sus clientes (los atacantes reales) la infraestructura y el malware<\/em> a cambio de una parte del rescate. Penetrar en la red de la v\u00edctima es responsabilidad del contratista; y en lo que respecta a la distribuci\u00f3n del ransomware<\/em> por la red, LockBit dise\u00f1\u00f3 una tecnolog\u00eda bastante interesante.<\/p>\n

Distribuci\u00f3n de LockBit 2.0<\/h2>\n

Despu\u00e9s de que los atacantes obtienen acceso a la red y llegan al controlador de dominio, Bleeping Computer reporta,<\/a> ejecutan malware<\/em> ah\u00ed y crean nuevas pol\u00edticas de grupo de usuarios, las cuales posteriormente se implementan en cada dispositivo de la red. Las pol\u00edticas primero desactivan la tecnolog\u00eda de seguridad integrada del sistema operativo. Otras pol\u00edticas despu\u00e9s crean una tarea programada en todas las m\u00e1quinas con Windows para ejecutar el archivo ejecutable del ransomware<\/em>.<\/p>\n

Bleeping Computer cita al investigador Vitali Kremez cuando dice que el ransomware utiliza la API de Active Directory de Windows para realizar consultas de Protocolo ligero de acceso a directorios (Lightweight Directory Access Protocol<\/em>, LADP) para obtener una lista de computadoras.\u00a0 Posteriormente, LockBit evita el Control de cuenta de usuario (UAC) y se ejecuta en silencio, sin activar ninguna alerta en el dispositivo que est\u00e1 siendo cifrado.<\/p>\n

Al parecer, esto representa la primera expansi\u00f3n de malware<\/em> de mercado masivo mediante las pol\u00edticas de grupo de usuarios. Adem\u00e1s, LockBit 2.0 entrega notas de rescate de manera singular, al imprimir la nota en todas las impresoras conectadas a la red.<\/p>\n

\u00bfC\u00f3mo puedo proteger a mi empresa de amenazas similares?<\/h2>\n

Ten en cuenta que el controlador de dominio es en realidad un servidor de Windows, y como tal, necesita protecci\u00f3n. Kaspersky Security for Windows Server, el cual incluye la mayor\u00eda de nuestras soluciones de seguridad de endpoints para negocios<\/a> y protege a los servidores que ejecutan Windows de casi todas las amenazas modernas, debe ser parte de tu arsenal.<\/p>\n

Sin embargo, la propagaci\u00f3n del ransomware<\/em> mediante pol\u00edticas de grupo representa la \u00faltima etapa de un ataque. La actividad maliciosa deber\u00eda ser evidente mucho antes, por ejemplo, cuando los atacantes ingresen por primera vez a la red o intenten secuestrar el controlador de dominio.\u00a0Las soluciones Managed Detection and Response<\/a> son particularmente efectivas para detectar las se\u00f1ales de este tipo de ataques.<\/p>\n

Lo que es m\u00e1s importante, con frecuencia, los cibercriminales utilizan t\u00e9cnicas de ingenier\u00eda social y correo electr\u00f3nico con phishing<\/em> para obtener el acceso inicial. Para evitar que tus empleados caigan en estos trucos, mejora su concienciaci\u00f3n en ciberseguridad<\/a> mediante formaci\u00f3n peri\u00f3dica.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

El ransomware LockBit 2.0 puede propagarse a trav\u00e9s de una red local mediante las pol\u00edticas de grupo creadas en un controlador de dominio secuestrado.<\/p>\n","protected":false},"author":2581,"featured_media":22467,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,3540],"tags":[5322,472],"class_list":{"0":"post-22466","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-controlador-de-dominio","11":"tag-ransomware"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ransomware-group-policies\/22466\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ransomware-group-policies\/23123\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ransomware-group-policies\/18605\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/ransomware-group-policies\/9294\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/ransomware-group-policies\/25107\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ransomware-group-policies\/23122\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ransomware-group-policies\/25745\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ransomware-group-policies\/25234\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ransomware-group-policies\/31178\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ransomware-group-policies\/9888\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ransomware-group-policies\/40877\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ransomware-group-policies\/17409\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ransomware-group-policies\/17873\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/ransomware-group-policies\/15096\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ransomware-group-policies\/27141\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/ransomware-group-policies\/31314\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/ransomware-group-policies\/27355\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ransomware-group-policies\/24164\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ransomware-group-policies\/29500\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ransomware-group-policies\/29305\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/22466","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=22466"}],"version-history":[{"count":7,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/22466\/revisions"}],"predecessor-version":[{"id":22474,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/22466\/revisions\/22474"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/22467"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=22466"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=22466"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=22466"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}