Grupo de Hackers Pagan $1.000.000 a los empleados que planten un ransomware

Creando Un Infiltrado

Un hacker de ransomware ha recurrido a un método poco probable para infectar los sistemas informáticos de las víctimas: solicitar ayuda a los empleados de sus víctimas. Lejos esta de los métodos comunes de ataque.

Recuperación Ransomware señaló que recientemente ha identificado y bloqueado varios correos electrónicos sospechosos enviados a sus clientes. Los correos electrónicos supuestamente provienen de una persona con vínculos con el grupo de ransomware DemonWare. No se encuentra entre los 5 más peligrosos del 2021 pero es de igual dañino.

ransomware

Reclutando Piratas

En los correos electrónicos, el remitente del actor de amenazas les dice a los destinatarios del correo electrónico que si pueden ayudar a implementar ransomware en una computadora o servidor de la empresa, entonces se les pagaría 1 millón de dólares en bitcoins o el 40% del rescate de aproximadamente 2,5 millones de dólares que busca el pirata informático estafar a la empresa víctima.

Nuestros expertos señalaron que el remitente malintencionado incluso incluía dos métodos para que los destinatarios de correo electrónico se contactaran con el pirata informático si estaban interesados; una cuenta de correo electrónico de Outlook y un nombre de usuario de Telegram. La empresa de seguridad también mencionó que el ransomware generalmente se entrega a través de archivos adjuntos de correo electrónico o acceso directo a la red obtenido a través de vulnerabilidades del sistema. Es inusual ver a un actor intentar utilizar «técnicas básicas de ingeniería social» para convencer a un empleado de ser cómplice de un ataque.

Paso A Paso Con Un Hacker

Para comprender mejor cómo funcionaría un ciberataque de este tipo, creamos una persona ficticia y nos acercamos al pirata informático. A través de conversaciones y «planificación» de un ataque, la empresa aprendió lo siguiente:

  • El actor de la amenaza fue bastante flexible en la cantidad de dinero que estaba dispuesto a aceptar por el rescate, dependiendo del tamaño de la empresa víctima.
  • El actor de la amenaza intentó en repetidas ocasiones aliviar cualquier duda que el hipotético co-conspirador pudiera tener sobre el delito cibernético, alegando que el ransomware cifraría todo en el sistema, incluidos los sistemas de CCTV que la empresa pudiera tener protegiendo sus servidores.
  • Sin embargo, el actor de la amenaza asume que su posible cómplice tiene acceso físico a un servidor. El pirata informático puede no estar familiarizado con las investigaciones forenses digitales o de respuesta a incidentes si cree que los empleados no serán atrapados manipulando los servidores.
  • El actor de amenazas afirmó haber programado el malware usando Python, pero DemonWare está disponible en GitHub para que lo usen los ‘script kiddies’.
  • El actor de amenazas recopila información de objetivos de LinkedIn, obteniendo la información de contacto de los empleados para que sepan a quién dirigirse. El hacker también dijo que originalmente planeaban enviar correos electrónicos de phishing a ejecutivos de alto nivel, pero cuando eso no funcionó, recurrieron a la ingeniería social.
  • El actor de la amenaza es nigeriano debido a la información que se encuentra en un sitio web de comercio de divisas nigeriano.

DemonWare

DemonWare es un grupo de ransomware con sede en Nigeria que ha estado operando durante algunos años y se ha visto más recientemente lanzando  un aluvión de ataques  cuyo objetivo era  el  conjunto de vulnerabilidades ProxyLogon de Microsoft Exchange.

DemonWare es un software malicioso clasificado como ransomware. Normalmente, el ransomware cifra los datos y exige el pago por el descifrado. Durante el proceso de cifrado, DemonWare agrega todos los archivos afectados con la extensión » .DEMON «. Por ejemplo, un archivo originalmente llamado algo como » 1.jpg » aparecería como » 1.jpg.DEMON » después del cifrado. Una vez finalizado este proceso, DemonWare crea mensajes idénticos en una ventana emergente y archivos de texto » README.txt «, que se colocan en carpetas comprometidas.

ransomware
Share on facebook
Share on twitter
Share on pinterest
Share on linkedin

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Recuperación Ransomware

No pierda más tiempo y comuníquese con nosotros

Envíanos un mensaje y uno de nuestros expertos certificado se pondrá en contacto con usted.