¿Cómo el ataque de Ransomware perturba los negocios y las industrias?

El martes 19 de marzo, uno de los los mayores productores de aluminio del mundo, Norsk Hydro lucha contra los ataques de ransomware.

Img src: reuters

Debido a que las plantas de la empresa en los EE.UU., extrusiones de metal y otras plantas de productos laminados que cambiaban lingotes de aluminio en engranajes, la maquinaria para constructores, fabricantes de automóviles y otras industrias tuvo que cerrar hacia abajo. La situación está ahora bajo control, ya que la compañía tenía buenos planes de respaldo. Además, la empresa cambió las operaciones de sus fundiciones de gran tamaño en Noruega a manual.

En un comunicado publicado en la compañía de Facebook dijo: «Hydro está trabajando para contener y neutralizar el ataque, pero aún no lo ha hecho. conocer la magnitud de la situación».

Han informado al mercado de valores que han pasado a manual operaciones. ¿Alguien sabe cuál es el trato?

— Kevin Beaumont (@GossiTheDog) marzo 19, 2019

Con esta pregunta candente de ataque como cómo ransomware entra en el sistema de la empresa, cómo funciona, cómo se llama, qué hacer para mantener la seguridad stands arriba .

La respuesta no es difícil de encontrar.

A medida que leas más, obtendrás información sobre el software de rescate, cómo explota el sistema y más.

Lo primero es lo primero, de acuerdo con el Los atacantes de la Autoridad Nacional de Seguridad de Noruega (NNSA) utilizaron un programa de rescate llamado LockerGoga.

A el servicio de Directorio Activo de la compañía era el siguiente usado en su contra.

Esta no es la primera vez que esta es la primera vez que ha aparecido el software de rescate. LockerGoga fue usado para atacar y extorsionar dinero de La empresa francesa de ingeniería Altran Technologies en enero.

«LockerGoga sólo se usa en ataques dirigidos limitados. No tiene un’esparcidor’, no es como WannaCry o NotPetya. Tiene que ser desplegado por un atacante que ya tiene acceso administrativo», dijo Beaumont a través de Twitter.

¿Cómo pudieron los atacantes acceder a los sitios de administración?

En estos días el acceso a los sitios de administración es no es gran cosa. Los hackers utilizan el enfoque más común, es decir, obtienen la fuerza bruta credenciales de protocolo de escritorio remoto de los mercados de ciberdelincuencia. Con la ayuda de estas credenciales ingresan fácilmente a la red de la organización, la estudian y el sistema en busca de datos confidenciales, antes incluso de usar ransomware para monetización.

¿Qué es LockerGoga y cómo funciona?

LockerGoga es una cepa bastante nueva de que encripta los archivos del ordenador y exige un rescate para descifrarlos. Este software de rescate cifra los archivos DLL y se instala manualmente. Atacantes detrás utiliza principalmente Active Directory para difundir el software de rescate.

img src: blog.talosintelligence

En el caso de Norsk Hydro se sospecha que se utilizaron campañas de phishing para difundir LockerGoga. Además, en el momento de escribir este artículo no hay ninguna herramienta de descifrado disponible para LockerGoga. La mejor defensa contra el software de rescate es la precaución, la observancia de los ataques de phishing y la ejecución de antivirus actualizados y otras protecciones de endpoints.

¿Cómo funciona LockerGoga?

Los atacantes detrás de LockerGoga utilizan el enfoque clásico, es decir, el malware cifra los archivos con una extensión específica y luego dejan una nota de rescate como en el caso de Ryuk, SamSamand y otros programas de rescate. LockerGoga no puede extenderse a otros objetivos, pero utiliza otra técnica para minimizar la detección, por ejemplo, el autor del malware utiliza certificados válidos como ejecutables. Sin embargo, estos certificados se revocan ahora.

Una vez instalado, altera las cuentas de usuario de la siguiente manera cambiar sus contraseñas e intenta desconectarse de los usuarios que han iniciado sesión para reubicarse en la carpeta temporal y renombrarse a través de la línea de comandos. Además, LockerGoga también cifra el contenido del directorio de la Papelera de reciclaje de la víctima. Otro interesante característica de este malware es, que encripta cada archivo individualmente y cada se encripta después de modificar la clave del registro: ( HKEY_CURRENT_USERSOFTWARENMicrosoftRestartManagerSession00{01-20}.

Por lo general ransomware no hace esto ya que los gastos generales son creados y es un incompetente enfoque.

Además, C&C, balizamiento de DNS, etc. no son añadido al código malicioso, por lo tanto las suposiciones son las intenciones de LockerGoga son una interrupción, en lugar de espiar.

Después de encriptar los archivos, LockerGoga se va siguiendo la nota de rescate en un archivo.txt.

Img src: trendmicro LockerGoga Ransom note Img src: trendmicro Lista de extensiones seleccionadas por ransomware

Además de esto, otra cosa interesante sobre LockerGoga es la nota de rescate no incluye la dirección de la billetera de Bitcoin o la billetera Monero. Simplemente incluye dos direcciones de correo electrónico para contactar con el malware distribuidor. Además, para aumentar la probabilidad de recibir un rescate los atacantes ofrecen descifrar un pequeño número de archivos cifrados de forma gratuita.

¿Cómo saber si estás infectado con LockerGoga?

A medida que los archivos de destino se cifran y «.locked » se añade la extensión de archivo al final del nombre de archivo, puede identificar que está infectado.
>

Img src: recordedfuture.com

¿Qué aprendemos de este tipo de ataques?

En primer lugar, estos ataques problemáticos no se dirigen a ningún segmento específico. Individuos, empresas y gobiernos están en su punto de mira. Y el daño causado por estos ataques es severo. Por lo tanto, debemos ser cautelosos y mantener un control de nuestras actividades en línea. Además, un ataque a cualquier empresa puede llevar a un aumento de los precios de los productos básicos.

Además, pagar un rescate no es una solución, porque la recompensa sólo ayudará al atacante a diseñar malware más avanzado. Además, sabiendo que se les pagará, se alentará a los delincuentes a ataque. 

Ejemplos de los devastadores ataques de ransomware:

Wannacry ransomware que paralizó bancos, empresas hospitalarias y otras empresas a nivel mundial.
> El ataque de NotPetya causó daños por valor de 10.000 millones de dólares a empresas de la cadena de suministro en todo el mundo.

Cómo mantenerse seguro contra LockerGoga

Al seguir estas prácticas, usted puede estar a salvo de programas de rescate como LockerGoga:

  1. Realice copias de seguridad periódicas de los archivos y asegurarse de que tiene copias de seguridad operativas
  2. Siempre mantenga el sistema, la seguridad y otras aplicaciones de software actualizadas. Además, parchea los sistemas no parcheados
  3. Implementar la categorización de datos y segmentación de la red para minimizar la exposición de datos confidenciales.
  4. Desactivar componentes de terceros como pueden ser utilizados como puntos de entrada.
  5. Evite los cambios no deseados en el implementar una capa adicional de seguridad, como la monitorización del comportamiento. y control de aplicaciones
  6. Educar a los empleados para que implementen la seguridad en el lugar de trabajo. Además, infórmeles sobre las formas de identificar correos electrónicos fraudulentos y estafadores
  7. .

Recapitulación:

Los datos son un recurso valioso, ya que individuos, organizaciones y atacantes. Tanto si se trata de una imagen como de una empresa todos los documentos son valiosos. Por lo tanto, tenemos que protegerla. Ciberdelincuentes para robarla y ganar dinero. Un error tonto de nuestro lado puede ocasionar daños graves.

Frecuencia de ataques de ransomware sobre el en los últimos años se ha incrementado, y no sólo se utiliza para generar beneficios, sino que además también se utiliza para interrumpir las operaciones de la red, y para ocultar pistas. LockerGoga es una nueva variedad que puede carecer de sofisticación, pero es otro ejemplo de cómo un ransomware puede causar daño cuando se aprovecha contra una organización o individuo. Por lo tanto, tenga cuidado y manténgase a salvo. Para defiéndete de los ataques de ransomware siempre toma una copia de seguridad de los datos importantes y mantener el sistema actualizado.

Esperamos que os haya gustado el artículo y que os guste quiero que te mantengas en sintonía con nosotros para las últimas noticias de seguridad. Suscribirse a TweakLibrary, pulsando el icono de campana le ayudará a recibir notificaciones y manténgase en sintonía con nosotros. Váyase coméntenos en la sección de abajo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *