{"id":22689,"date":"2021-08-26T12:35:08","date_gmt":"2021-08-26T18:35:08","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=22689"},"modified":"2021-08-26T12:35:08","modified_gmt":"2021-08-26T18:35:08","slug":"please-install-ransomware","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/please-install-ransomware\/22689\/","title":{"rendered":"Por favor, cifra tu servidor"},"content":{"rendered":"

Cuando el ransomware<\/em> entra a una red corporativa usualmente lo hace mediante correo electr\u00f3nico, vulnerabilidades de software o conexiones remotas sin protecci\u00f3n. Tener un infiltrado para deliberadamente implementar malware<\/em> parece inveros\u00edmil. Sin embargo, como demuestra la evidencia del mundo real<\/a>, algunos atacantes piensan que este m\u00e9todo para entregar ransomware es efectivo, y algunos atacantes ahora reclutan empleados de empresas al ofrecerles un porcentaje del rescate.<\/p>\n

Una estrategia de entrega creativa<\/h2>\n

Puede sonar absurdo, pero algunos buscan c\u00f3mplices mediante spam. Por ejemplo, un mensaje ofrece directamente \u201c40%, 1 mill\u00f3n de d\u00f3lares en bitcoin\u201d para cualquiera que est\u00e9 dispuesto a instalar e implementar el ramsomware<\/em> DemonWare en el servidor Windows principal de su organizaci\u00f3n.<\/p>\n

Los investigadores haci\u00e9ndose pasar por c\u00f3mplices interesados recibieron un enlace a un archivo junto con instrucciones para lanzar el malware<\/em>. Sin embargo, la persona detr\u00e1s del correo era, aparentemente, un cibercriminal sin experiencia; los investigadores no tuvieron problemas para hacerlo hablar. El actor de la amenaza en cuesti\u00f3n era un joven hombre de Nigeria quien hab\u00eda rastreado ejecutivos de alto nivel en LinkedIn para contactarlos. Abandon\u00f3 su plan original (malware<\/em> por correo electr\u00f3nico) una vez que se dio cuenta de que tan s\u00f3lidos son los sistemas de ciberseguridad.<\/p>\n

\u00bfCu\u00e1l es el problema de la estrategia?<\/h2>\n

Para convencer a sus objetivos de que es seguro participar, el actor de la amenaza afirmaba que el ransomware<\/em> borrar\u00eda toda evidencia del crimen, incluida cualquier grabaci\u00f3n de seguridad potencial, y recomendaba eliminar el archivo ejecutable para evitar dejar pistas. Podr\u00edamos esperar que el criminal intentar\u00e1 enga\u00f1ar a sus c\u00f3mplices (tal vez una vez que el servidor estuviera cifrado, no le importar\u00eda lo que le ocurriera a la persona que lo hizo) pero parece que no entend\u00eda c\u00f3mo funcionan las investigaciones forenses digitales.<\/p>\n

La decisi\u00f3n de utilizar DemonWare tambi\u00e9n delat\u00f3 su inexperiencia. Si bien los atacantes a\u00fan utilizan DemonWare, es en realidad malware<\/em> poco sofisticado cuyo c\u00f3digo fuente est\u00e1 disponible en GitHub. Al parecer, el creador del malware<\/em> lo hizo para demostrar qu\u00e9 tan f\u00e1cil es escribir ransomware<\/em>.<\/p>\n

C\u00f3mo mantenerse seguro<\/h2>\n

Si bien este es solo un ejemplo, un ejemplo espec\u00edfico, es completamente realista que haya infiltrados participando en un ataque de ransomware<\/em>; sin embargo, es mucho m\u00e1s probable un escenario en donde alguien venda acceso al sistema de informaci\u00f3n de una organizaci\u00f3n que el escenario en donde alguien libera un malware<\/em> en una red.<\/p>\n

El mercado de acceso a las redes corporativas ha existido en la dark web por mucho tiempo, y los extorsionistas con frecuencia compran<\/a> el acceso a otros cibercriminales, los llamados Initial Access Brokers. Son ellos los que podr\u00edan estar espec\u00edficamente interesados en comprar datos para acceso remoto a la red o a los servidores en nube de la organizaci\u00f3n. Los anuncios para dichas compras cuyo objetivo son los empleados insatisfechos o despedidos inundan la dark web.<\/p>\n

Para garantizar que nadie ponga en peligro la seguridad de tu empresa al dejar que los extorsionistas entren en sus redes, te recomendamos:<\/p>\n