Ataque letal: el ransomware LockBit toma el control de los equipos del gobierno de EE.UU.

Un nuevo informe de la empresa de ciberseguridad Sophos revela algunos de los métodos empleados por los hackers para explotar las brechas en los dispositivos federales. Un ataque destacado en el informe muestra que los grupos de ransomware pasan al menos cinco meses revisando los archivos y sistemas de una agencia gubernamental regional de EE.UU. antes de llevar a cabo un ataque LockBit en el ordenador afectado.

Cómo se infiltró un ordenador gubernamental

Durante casi medio año, los hackers exploraron la red objetivo y utilizaron el navegador Google Chrome para encontrar e instalar herramientas de piratería en el servidor afectado. A partir de ahí, se instalaron diferentes herramientas de piratería, como fuerza bruta de contraseñas y mineros de criptomonedas, junto con scripts personalizados y archivos de configuración de ransomware que posteriormente se encontraron en el sistema atacado.

El ataque poco sofisticado pero efectivo intentó utilizar software de gestión de TI para evitar la detección, a través de herramientas como ScreenConnect y AnyDesk, que normalmente se utilizan para acceder de forma remota. Sophos descubrió más tarde que, en la configuración del propio sistema, el equipo de TI dejó abiertos los puertos de RDP en un firewall para permitir el acceso público al servidor, lo que facilitó la infiltración del grupo de hackers en cuestión.

VER: Política de seguridad de dispositivos móviles (Newsmatic Premium)

Una vez que se activó el acceso remoto, se desplegó el ransomware LockBit en el sistema aprovechando la vulnerabilidad del sistema. Las partes maliciosas intentaron borrar las huellas al eliminar los archivos de registro, pero Sophos pudo reconstruir los pasos seguidos para llevar a cabo el hackeo, ya que se sospechaba que había sido perpetrado por ciberatacantes inexpertos.

Protección contra ciberataques

Lo bueno de esta situación es que los atacantes parecían inexpertos y no estaban seguros de qué hacer después de acceder a la red gubernamental. En muchos casos, las organizaciones afectadas no tienen tanta suerte de poder reconstruir el cronograma y el método del ataque. Brandt recomienda que las empresas adopten un enfoque constante de la ciberseguridad y tomen decisiones sobre cómo y por qué se descargan software en los dispositivos de la red.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

"Un enfoque robusto, proactivo y las 24 horas del día, los 7 días de la semana ayudarán a prevenir que este tipo de ataque se lleve a cabo", dijo. "El primer paso más importante es tratar de evitar que los atacantes accedan a la red en primer lugar, por ejemplo, implementando la autenticación de doble factor y estableciendo reglas de firewall para bloquear el acceso remoto a los puertos de RDP en ausencia de una conexión VPN. Si un miembro del equipo de TI no los ha descargado para un propósito específico, la presencia de herramientas [no reconocidas] en las máquinas de su red es una señal de alerta de un ataque en curso o inminente".

Este tipo de ataque también es una lección sobre la importancia de tomar precauciones adicionales en lo que respecta a la configuración de la red y asegurarse de que se cierren cualquier ruta potencial de ataque a través del monitoreo constante por parte del equipo de TI. Si los ransomware pueden encontrar una forma de infiltrarse e infectar una red federal, es fundamental que las organizaciones sin ciberseguridad a nivel gubernamental se tomen el tiempo para asegurarse de tener salvaguardas virtuales en su lugar en caso de un ataque.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Ataque letal: el ransomware LockBit toma el control de los equipos del gobierno de EE.UU. , tenemos lo ultimo en tecnología 2023.