Los piratas informáticos sobornan a los empleados para que implementen ransomware en las computadoras de la empresa
El término ransomware se utiliza para describir cualquier tipo de malware (software malicioso) que cifra o bloquea datos en un dispositivo y exige el pago de un rescate para descifrarlo.
Los ataques de ransomware han evolucionado a lo largo de los años, y los ciberdelincuentes utilizan técnicas cada vez más sofisticadas para atacar organizaciones e individuos.
Este verano, los investigadores de ciberseguridad detectaron a un pirata informático que intentaba sobornar a los empleados para que implementaran ransomware en las computadoras de su empresa.
Soborno de empleados: ¿qué sucedió?
En agosto, Abnormal Security notó que los empleados recibían correos electrónicos solicitándoles que se convirtieran en cómplices de un ataque de ransomware. El actor de la amenaza envió un correo electrónico a los empleados diciéndoles que se les pagaría el 40 por ciento del rescate de $ 2.5 millones para implementar ransomware en las computadoras de su empresa, ya sea física o remotamente, y dejó información de contacto.
Los ciberdelincuentes generalmente implementan ransomware a través de archivos adjuntos de correo electrónico o mediante configuraciones de red privada virtual (VPN). Naturalmente, los investigadores de Seguridad anormal sentían curiosidad por los métodos de este actor de amenazas en particular, por lo que decidieron hacerse pasar por un empleado dispuesto a participar en el plan y se acercaron a los estafadores.
El actor de amenazas responde
El actor de amenazas respondió rápidamente, en menos de una hora, preguntando al supuesto empleado si podría acceder al servidor Windows de su empresa. Los investigadores respondieron afirmativamente, lo que llevó al ciberdelincuente a enviar enlaces a sitios de transferencia de archivos, WeTransfer y Mega.
Los investigadores descargaron el archivo que envió, "Walletconnect (1) .exe", y confirmaron que de hecho se trataba de ransomware, la variante DemonWare. Para ser claros: no recomendamos a nadie que descargue nada sospechoso que le envíe un extraño.
Aún haciéndose pasar por un empleado, los investigadores le dijeron al actor de amenazas que su empresa tenía unos ingresos anuales de 50 millones de dólares. El actor de la amenaza luego redujo el monto del rescate de $ 2.5 millones a $ 120,000.
El actor de amenazas trató repetidamente de convencer al supuesto empleado de que el ransomware cifraría todo en el sistema sin dejar ningún rastro, lo que demuestra que es imprudente o simplemente no está demasiado familiarizado con la ciencia forense digital.
El ciberdelincuente también afirmó que programó el ransomware utilizando el lenguaje de programación Python, lo cual era una mentira: todo el código de DemonWare está disponible gratuitamente en línea.
DemonWare no es tan peligroso como, por ejemplo, el ransomware Ryuk , pero el hecho de que casi cualquier persona pueda encontrar fácilmente el código en línea e intentar implementar el malware sugiere que es una amenaza que debe tomarse en serio.
¿Cómo obtuvo el ciberdelincuente la información de contacto?
Entonces, ¿cómo hizo el actor de amenazas para obtener la información del objetivo?
El actor de amenazas, según admitió él mismo, envió correos electrónicos de phishing a ejecutivos de alto nivel de la empresa en un intento de comprometer sus cuentas.
Cuando esto falló, obtuvo la información de contacto de los empleados de LinkedIn y luego envió correos electrónicos ofreciendo una parte de las ganancias por implementar ransomware.
¿Quién es el ciberdelincuente?
El actor de amenazas fue lo suficientemente descuidado como para compartir información sobre sí mismo con los investigadores de Seguridad anormal, incluido su nombre completo y ubicación.
Aparentemente con sede en Nigeria, se describió en broma como "el próximo Mark Zuckerberg", revelando que está tratando de construir una plataforma de redes sociales africanas.
También afirmó tener vínculos con el grupo de ransomware DemonWare, que también se conoce como Black Kingdom y DEMON.
Claramente, esta persona no es exactamente un cerebro criminal, pero su intento de convertir a los empleados en amenazas internas fue notable y sugiere que esta podría ser una tendencia emergente.
Protección contra ataques
Es fácil ver cómo un ciberdelincuente más competente podría causar un daño importante a una organización al introducir la ingeniería social en los sistemas internos.
Es imperativo que los empleadores eduquen a los trabajadores sobre los piratas informáticos, pero a veces eso no es suficiente. Además de invertir en seguridad, los empleadores preocupados por las amenazas internas deberían considerar buscar un software de monitoreo de empleados.
Siempre que no sea invasivo y sea seguro, el software de monitoreo puede ser una excelente manera de garantizar que una empresa tenga una capa adicional de protección contra los ciberataques, especialmente hoy en día, cuando millones de personas en todo el mundo trabajan desde casa.