¿Cómo el ataque de ransomware afecta a empresas e industrias?
Publicado: 2019-03-25El martes 19 de marzo , uno de los mayores productores de aluminio del mundo, Norsk Hydro, lucha contra un ataque de ransomware.
Debido a que las plantas de extrusión de metal y otras plantas de productos laminados de la compañía con sede en EE. UU. que transformaban lingotes de aluminio en engranajes, maquinaria para constructores, fabricantes de automóviles y otras industrias tuvieron que cerrar. La situación ahora está bajo control, ya que la empresa tenía buenos planes de respaldo. Además, la empresa cambió a manual las operaciones de sus fundiciones de gran tamaño en Noruega.
En un comunicado publicado en Facebook, la compañía dijo: “Hydro está trabajando para contener y neutralizar el ataque, pero aún no conoce el alcance total de la situación”.
<blockquote class=”twitter-tweet” data-lang=”en”><p lang=”en” dir=”ltr”>Han informado al mercado de valores que han pasado a operaciones manuales. ¿Alguien sabe cuál es el trato?</p>— Kevin Beaumont ??️ (@GossiTheDog) <a href=”https://twitter.com/GossiTheDog/status/1107928639612555265?ref_src=twsrc%5Etfw”>19 de marzo de 2019</a></blockquote>
<script async src=”https://platform.twitter.com/widgets.js” charset=”utf-8″></script>
Con este ataque, surgen preguntas candentes como cómo entra el ransomware en el sistema de la empresa, cómo funciona, cómo se llama, qué hacer para mantenerse seguro .
Respuesta de la cual no es difícil de encontrar.
A medida que siga leyendo, obtendrá información sobre el ransomware, cómo explota el sistema y más.
Lo primero es lo primero, según la Autoridad de Seguridad Nacional de Noruega (NNSA), los atacantes utilizaron un ransomware llamado LockerGoga.
Para entregar el ransomware a los puntos finales, se utilizó el propio servicio de Active Directory de la empresa en su contra.
Esta no es la primera vez que aparece este ransomware. LockerGoga se utilizó para atacar y extorsionar a la empresa de ingeniería francesa Altran Technologies en enero.
“LockerGoga solo se usa en ataques dirigidos limitados. No tiene un 'spreader', no es como WannaCry o NotPetya. Tiene que ser implementado por un atacante que ya tenga acceso de administrador”, dijo Beaumont a través de Twitter.
¿Cómo pudieron los atacantes acceder a los sitios de administración?
En estos días, obtener acceso a los sitios de administración no es gran cosa. Los piratas informáticos utilizan el enfoque más común, es decir, obtienen credenciales de protocolo de escritorio remoto por fuerza bruta de los mercados de ciberdelincuencia. Con la ayuda de estas credenciales, ingresan fácilmente a la red de la organización, la estudian y atacan el sistema en busca de datos confidenciales, incluso antes de usar ransomware para la monetización.
¿Qué es LockerGoga y cómo funciona?
LockerGoga es una variedad bastante nueva de ransomware que cifra los archivos de la computadora y exige un rescate para descifrarlos. Este ransomware cifra los archivos DLL y se instala manualmente. Los atacantes detrás de él utilizan principalmente Active Directory para propagar ransomware.
En el caso de Norsk Hydro, se sospecha que se utilizaron campañas de phishing para difundir LockerGoga. Además, en el momento de escribir este artículo, no hay ninguna herramienta de descifrado disponible para LockerGoga. La mejor defensa contra el ransomware es la precaución, la observancia contra los ataques de phishing y ejecutar un antivirus actualizado y otras protecciones de punto final.
¿Cómo funciona LockerGoga?
Los atacantes detrás de LockerGoga utilizan un enfoque clásico, es decir, el malware cifra los archivos con la extensión específica y luego dejan una nota de rescate como en el caso de Ryuk, SamSam.
Una vez instalado, altera las cuentas de los usuarios cambiando sus contraseñas e intenta cerrar la sesión de los usuarios registrados para reubicarse en la carpeta temporal y renombrarse a sí mismo a través de la línea de comandos. Además, LockerGoga también encripta el contenido del directorio de la papelera de reciclaje de la víctima. Otra característica interesante de este malware es que cifra cada archivo individualmente y cada archivo se cifra después de modificar la clave de registro: ( HKEY_CURRENT_USER\SOFTWARE\Microsoft\RestartManager\Session00{01-20}.
Por lo general, el ransomware no hace esto, ya que se crean gastos generales y es un enfoque incompetente.
Además, C&C, señalización de DNS, etc. no se agregan al código de malware, por lo que se supone que las intenciones de LockerGoga son interrumpir, en lugar de espiar.
Después de cifrar los archivos, LockerGoga deja la siguiente nota de rescate en un archivo .txt.
Además de esto, otra cosa interesante sobre LockerGoga es que la nota de rescate no incluye la dirección de la billetera para la billetera Bitcoin o Monero. Simplemente incluye dos direcciones de correo electrónico para ponerse en contacto con el distribuidor de malware. Además, para aumentar la probabilidad de recibir rescate, los atacantes ofrecen descifrar una pequeña cantidad de archivos cifrados de forma gratuita.
¿Cómo saber si estás infectado con LockerGoga?
Como los archivos de destino están encriptados y ".bloqueados", la extensión del archivo se agrega al final del nombre del archivo, puede identificar que está infectado.
¿Qué aprendemos de este tipo de ataques?
En primer lugar, estos ataques problemáticos no se dirigen a ningún segmento específico. Particulares, empresas
Además, pagar un rescate no es una solución, porque el pago solo ayudará al atacante a diseñar malware más avanzado. Además, sabiendo que se les pagará, se animará a los delincuentes a atacar.
Ejemplos de devastadores ataques de ransomware:
El ataque NotPetya resultó en $ 10 mil millones en daños a las empresas de la cadena de suministro
Cómo mantenerse seguro contra LockerGoga
Al seguir estas prácticas específicas, puede mantenerse seguro contra ransomware como LockerGoga:
- Realice copias de seguridad periódicas de los archivos y asegúrese de que tenga copias de seguridad que funcionen
- Mantenga siempre actualizados el sistema, las aplicaciones de seguridad y otro software. Además, parchee los sistemas sin parchear
- Implemente la categorización de datos y la segmentación de la red para minimizar la exposición de datos confidenciales.
- Deshabilite los componentes de terceros, ya que se pueden utilizar como puntos de entrada.
- Evite cambios no deseados en el sistema, implemente una capa adicional de seguridad como monitoreo de comportamiento y control de aplicaciones
- Educar a los empleados para implementar la seguridad en el lugar de trabajo. Además, infórmeles sobre las formas de identificar correos electrónicos fraudulentos y de phishing.
Envolver:
Los datos son un recurso preciado para individuos, organizaciones y atacantes. Ya sea una imagen o un documento corporativo, todos son valiosos. Por lo tanto, debemos protegerlo. Los ciberdelincuentes lo vigilan para robarlo y ganar dinero. Un error tonto de nuestra parte puede provocar daños graves.
La frecuencia de los ataques de ransomware en los últimos años ha aumentado, y no solo se usa para generar ganancias, sino que también se usa para interrumpir las operaciones de la red y para ocultar pistas. LockerGoga, que es una variedad nueva, puede carecer de sofisticación, pero es otro ejemplo de cómo un ransomware puede causar daños cuando se aprovecha contra una organización o individuo. Por lo tanto, tenga cuidado y manténgase seguro. Para defenderse de un ataque de ransomware, siempre haga una copia de seguridad de los datos importantes y mantenga el sistema actualizado.
Esperamos que le haya gustado el artículo y nos gustaría que nos mantuviera al tanto de las últimas noticias de seguridad. Suscribirse a TweakLibrary, presionando el ícono de la campana lo ayudará a recibir notificaciones y mantenerse conectado con nosotros. Déjanos un comentario en la sección de abajo.