{"id":25745,"date":"2021-08-03T17:05:32","date_gmt":"2021-08-03T15:05:32","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=25745"},"modified":"2021-08-10T09:25:40","modified_gmt":"2021-08-10T07:25:40","slug":"ransomware-group-policies","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/ransomware-group-policies\/25745\/","title":{"rendered":"Las pol\u00edticas de grupo permiten que el ransomware se propague"},"content":{"rendered":"<p>La creaci\u00f3n de <em>ransomware<\/em> <a href=\"https:\/\/www.kaspersky.es\/blog\/darkside-ransomware-industry\/25072\/\" target=\"_blank\" rel=\"noopener\">se convirti\u00f3 hace ya un tiempo en una industria clandestina<\/a>, con servicio de soporte t\u00e9cnico, centros de prensa y campa\u00f1as publicitarias incluidas. Como sucede con cualquier otra industria, para crear un producto competitivo es necesaria una mejora continua. LockBit, por ejemplo, es el m\u00e1s reciente de una serie de grupos de ciberdelincuentes que publicitan la capacidad de automatizar la infecci\u00f3n de ordenadores locales mediante un controlador de dominio.<\/p>\n<p>LockBit sigue el modelo de Ransomware como Servicio (RaaS por sus siglas en ingl\u00e9s) mediante el cual proporciona a sus clientes (los atacantes) la infraestructura y el <em>malware<\/em> a cambio de una parte del rescate. Penetrar en la red de la v\u00edctima es responsabilidad del contratista y, en lo que respecta a la distribuci\u00f3n del <em>ransomware<\/em> por la red, LockBit ha dise\u00f1ado una tecnolog\u00eda bastante interesante.<\/p>\n<h2>La distribuci\u00f3n de LockBit 2.0<\/h2>\n<p>De acuerdo con <em><a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/lockbit-ransomware-now-encrypts-windows-domains-using-group-policies\/\" target=\"_blank\" rel=\"noopener nofollow\">Bleeping Computer<\/a><\/em>, despu\u00e9s de que los atacantes obtienen el acceso a la red y llegan al controlador de dominio, ejecutan el <em>malware<\/em> ah\u00ed y crean nuevas pol\u00edticas de grupo de usuarios, que posteriormente se implementan en cada dispositivo de la red. En primer lugar, las pol\u00edticas desactivan la tecnolog\u00eda de seguridad integrada. Despu\u00e9s, otras pol\u00edticas crean una tarea programada en todos los equipos con Windows para ejecutar el archivo del <em>ransomware<\/em>.<\/p>\n<p><em>Bleeping Computer<\/em> cita al investigador Vitali Kremez cuando afirma que el <em>ransomware<\/em> utiliza la API del Directorio Activo de Windows para realizar consultas de Protocolo ligero de acceso a directorios (LADP por sus siglas en ingl\u00e9s) y obtener as\u00ed una lista de ordenadores. Despu\u00e9s, LockBit evita el Control de cuentas de usuario (UAC) y se ejecuta en silencio, sin activar ninguna alerta en el dispositivo que est\u00e1 siendo cifrado.<\/p>\n<p>Al parecer, esto representa la primera propagaci\u00f3n de <em>malware<\/em> de mercado masivo mediante las pol\u00edticas de grupo de usuarios. Adem\u00e1s, LockBit 2.0 entrega las notas de rescate de una forma bastante singular, imprimi\u00e9ndolas en todas las impresoras conectadas a la red.<\/p>\n<h2>\u00bfC\u00f3mo puedo proteger mi empresa de amenazas similares?<\/h2>\n<p>Ten en cuenta que el controlador de dominio es en realidad un servidor de Windows y, como tal, necesita protecci\u00f3n. Kaspersky Security for Windows Server, que se incluye en <a href=\"https:\/\/www.kaspersky.es\/small-to-medium-business-security?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">la mayor\u00eda de nuestras soluciones de seguridad para endpoints corporativos<\/a> y protege a los servidores que ejecutan Windows de casi todas las amenazas actuales, debe formar parte de tu arsenal.<\/p>\n<p>Sin embargo, la propagaci\u00f3n del <em>ransomware<\/em> mediante pol\u00edticas de grupo representa la \u00faltima etapa de un ataque. La actividad maliciosa deber\u00eda resultar evidente mucho antes, por ejemplo, cuando los atacantes accedan por primera vez a la red o intenten secuestrar el controlador de dominio. Las soluciones <a href=\"https:\/\/www.kaspersky.es\/enterprise-security\/managed-detection-and-response?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Managed Detection and Response<\/a> resultan particularmente efectivas para detectar las se\u00f1ales de este tipo de ataques.<\/p>\n<p>Y lo que es m\u00e1s importante, con frecuencia, los ciberdelincuentes utilizan t\u00e9cnicas de ingenier\u00eda social y correo electr\u00f3nico con <em>phishing<\/em> para obtener el acceso inicial. Para evitar que tus empleados caigan en estos trucos, mejora su <a href=\"https:\/\/k-asap.com\/es\/?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">concienciaci\u00f3n en materia de ciberseguridad<\/a> mediante sesiones de formaci\u00f3n peri\u00f3dicas.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb\">\n","protected":false},"excerpt":{"rendered":"<p>El ransomware LockBit 2.0 puede propagarse a trav\u00e9s de una red local mediante las pol\u00edticas de grupo creadas en un controlador de dominio secuestrado.<\/p>\n","protected":false},"author":2581,"featured_media":25747,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754,2755],"tags":[3326,401],"class_list":{"0":"post-25745","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-controlador-de-dominio","11":"tag-ransomware"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ransomware-group-policies\/25745\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ransomware-group-policies\/23123\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ransomware-group-policies\/18605\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/ransomware-group-policies\/9294\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/ransomware-group-policies\/25107\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ransomware-group-policies\/23122\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ransomware-group-policies\/22466\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ransomware-group-policies\/25234\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ransomware-group-policies\/31178\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ransomware-group-policies\/9888\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ransomware-group-policies\/40877\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ransomware-group-policies\/17409\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ransomware-group-policies\/17873\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/ransomware-group-policies\/15096\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ransomware-group-policies\/27141\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/ransomware-group-policies\/31314\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/ransomware-group-policies\/27355\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ransomware-group-policies\/24164\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ransomware-group-policies\/29500\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ransomware-group-policies\/29305\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/25745","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=25745"}],"version-history":[{"count":7,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/25745\/revisions"}],"predecessor-version":[{"id":25797,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/25745\/revisions\/25797"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/25747"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=25745"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=25745"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=25745"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}