{"id":25877,"date":"2021-08-31T13:51:26","date_gmt":"2021-08-31T11:51:26","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=25877"},"modified":"2021-08-31T13:51:26","modified_gmt":"2021-08-31T11:51:26","slug":"please-install-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/please-install-ransomware\/25877\/","title":{"rendered":"\u00bfMe ayudas a cifrar tu servidor?"},"content":{"rendered":"

Cuando el ransomware<\/em> entra a una red corporativa normalmente lo hace mediante correo electr\u00f3nico, vulnerabilidades de software<\/em> o conexiones remotas sin protecci\u00f3n. Que un infiltrado implemente malware<\/em> de forma deliberada parece inveros\u00edmil. Sin embargo, como nos muestra el mundo real<\/a>, algunos atacantes piensan que este m\u00e9todo para entregar ransomware es efectivo y han comenzado a reclutar empleados a cambio de un porcentaje del rescate.<\/p>\n

Una estrategia de entrega creativa<\/h2>\n

Puede sonar absurdo, pero algunos buscan c\u00f3mplices mediante el spam<\/em>. Por ejemplo, un mensaje ofrece directamente \u201cel 40 %, 1 mill\u00f3n de d\u00f3lares en bitcoin\u201d para cualquiera que est\u00e9 dispuesto a instalar e implementar el ramsomware<\/em> DemonWare en el servidor Windows principal de su organizaci\u00f3n.<\/p>\n

Los investigadores, que se hicieron pasar por c\u00f3mplices interesados, recibieron un enlace a un archivo junto con instrucciones para lanzar el malware<\/em>. Sin embargo, la persona detr\u00e1s del correo era, en apariencia, un ciberdelincuente sin experiencia; de hecho, los investigadores no tuvieron problemas para hacerlo hablar. El actor de la amenaza en cuesti\u00f3n era un joven nigeriano que hab\u00eda rastreado ejecutivos de alto nivel en LinkedIn para contactarlos. Abandon\u00f3 su plan original (malware<\/em> por correo electr\u00f3nico) una vez que se dio cuenta de la solidez de los sistemas de ciberseguridad.<\/p>\n

\u00bfCu\u00e1l es el problema de la estrategia?<\/h2>\n

Para convencer a sus objetivos de que era seguro participar, el actor de la amenaza aseguraba que el ransomware<\/em> borrar\u00eda todas las pruebas del delito, incluida cualquier posible grabaci\u00f3n de seguridad, y recomendaba eliminar el archivo ejecutable para evitar dejar pistas. Podr\u00edamos esperar que el delincuente intentara enga\u00f1ar a sus c\u00f3mplices (tal vez una vez que el servidor estuviera cifrado ya no le importara lo que le ocurriera a la persona que lo hizo) pero parece que no entend\u00eda c\u00f3mo funcionan las investigaciones forenses digitales.<\/p>\n

La decisi\u00f3n de utilizar DemonWare tambi\u00e9n delat\u00f3 su inexperiencia. Aunque los atacantes a\u00fan utilizan DemonWare, se trata en realidad de un malware<\/em> poco sofisticado cuyo c\u00f3digo fuente est\u00e1 disponible en GitHub. Al parecer, el creador del malware<\/em> lo hizo para demostrar la facilidad de escribir ransomware<\/em>.<\/p>\n

C\u00f3mo mantenerse a salvo<\/h2>\n

Aunque esto es tan solo un ejemplo espec\u00edfico, es cierto que los ciberdelincuentes se ayudan de infiltrados para detonar los ataques de ransomware<\/em>; sin embargo, es mucho m\u00e1s probable la situaci\u00f3n en la que alguien vende el acceso al sistema de informaci\u00f3n de una organizaci\u00f3n que la de alguien que libera un malware<\/em> en una red.<\/p>\n

El mercado de acceso a las redes corporativas lleva existiendo en la dark web<\/em> mucho tiempo y, con frecuencia, los chantajistas compran<\/a> el acceso a otros ciberdelincuentes, los llamados Initial Access Brokers. Son ellos los que podr\u00edan estar interesados en comprar datos para el acceso remoto a la red o a los servidores en la nube de la organizaci\u00f3n. Los anuncios para dichas compras, cuyo objetivo son los empleados insatisfechos o despedidos, inundan la dark web<\/em>.<\/p>\n

Para garantizar que nadie ponga en peligro la seguridad de tu empresa dejando que los chantajistas entren en sus redes, te recomendamos:<\/p>\n