Cuando el ransomware entra a una red corporativa normalmente lo hace mediante correo electrónico, vulnerabilidades de software o conexiones remotas sin protección. Que un infiltrado implemente malware de forma deliberada parece inverosímil. Sin embargo, como nos muestra el mundo real, algunos atacantes piensan que este método para entregar ransomware es efectivo y han comenzado a reclutar empleados a cambio de un porcentaje del rescate.
Una estrategia de entrega creativa
Puede sonar absurdo, pero algunos buscan cómplices mediante el spam. Por ejemplo, un mensaje ofrece directamente “el 40 %, 1 millón de dólares en bitcoin” para cualquiera que esté dispuesto a instalar e implementar el ramsomware DemonWare en el servidor Windows principal de su organización.
Los investigadores, que se hicieron pasar por cómplices interesados, recibieron un enlace a un archivo junto con instrucciones para lanzar el malware. Sin embargo, la persona detrás del correo era, en apariencia, un ciberdelincuente sin experiencia; de hecho, los investigadores no tuvieron problemas para hacerlo hablar. El actor de la amenaza en cuestión era un joven nigeriano que había rastreado ejecutivos de alto nivel en LinkedIn para contactarlos. Abandonó su plan original (malware por correo electrónico) una vez que se dio cuenta de la solidez de los sistemas de ciberseguridad.
¿Cuál es el problema de la estrategia?
Para convencer a sus objetivos de que era seguro participar, el actor de la amenaza aseguraba que el ransomware borraría todas las pruebas del delito, incluida cualquier posible grabación de seguridad, y recomendaba eliminar el archivo ejecutable para evitar dejar pistas. Podríamos esperar que el delincuente intentara engañar a sus cómplices (tal vez una vez que el servidor estuviera cifrado ya no le importara lo que le ocurriera a la persona que lo hizo) pero parece que no entendía cómo funcionan las investigaciones forenses digitales.
La decisión de utilizar DemonWare también delató su inexperiencia. Aunque los atacantes aún utilizan DemonWare, se trata en realidad de un malware poco sofisticado cuyo código fuente está disponible en GitHub. Al parecer, el creador del malware lo hizo para demostrar la facilidad de escribir ransomware.
Cómo mantenerse a salvo
Aunque esto es tan solo un ejemplo específico, es cierto que los ciberdelincuentes se ayudan de infiltrados para detonar los ataques de ransomware; sin embargo, es mucho más probable la situación en la que alguien vende el acceso al sistema de información de una organización que la de alguien que libera un malware en una red.
El mercado de acceso a las redes corporativas lleva existiendo en la dark web mucho tiempo y, con frecuencia, los chantajistas compran el acceso a otros ciberdelincuentes, los llamados Initial Access Brokers. Son ellos los que podrían estar interesados en comprar datos para el acceso remoto a la red o a los servidores en la nube de la organización. Los anuncios para dichas compras, cuyo objetivo son los empleados insatisfechos o despedidos, inundan la dark web.
Para garantizar que nadie ponga en peligro la seguridad de tu empresa dejando que los chantajistas entren en sus redes, te recomendamos:
- Adoptar una estrategia del mínimo privilegio.
- Mantener registros minuciosos de los intentos de acceso a la red y los servidores de la organización, y revocar derechos y cambiar contraseñas cuando los empleados dejen la empresa.
- Instalar en todos los servidores soluciones de seguridad que puedan contrarrestar el malware
- Utilizar las soluciones Managed Detection and Response, que ayudan a identificar la actividad sospechosa en tu infraestructura antes de que los atacantes puedan causar daños graves.