Según Microsoft, el acceso y propagación de este ransomware ha sido a través de operadores humanos que a través de un equipo remoto utilizan credenciales de administrador correspondientes a los sistemas que buscan infectar, lo que puede dar una idea de lo que ocurrió en el caso de PEMEX.
"Microsoft ha estado investigando ataques recientes de actores maliciosos utilizando el ransomware Dopplepaymer. Hay información engañosa que circula sobre los equipos de Microsoft, junto con referencias a RDP (BlueKeep), como formas en que se propaga este malware. Nuestros equipos de investigación de seguridad han investigado y no han encontrado evidencia que respalde estas afirmaciones. En nuestras investigaciones descubrimos que el malware se basa en operadores humanos remotos que usan las credenciales de administrador de dominio existentes para extenderse a través de una red empresarial", explicaron los directivos del Centro de Seguridad de Microsoft, Mary Jensen y Dan West.
Adicionalmente los directivos indicaron que se debe estar atentos a las amenazas que implica DopplePaymer como la motivación necesaria para establecer medidas de seguridad vinculadas con la higiene y control de credenciales, reducción de privilegios y la segmentación de la red.
"Estas mejores prácticas pueden ayudar a evitar que los operadores de Dopplepaymer y otros atacantes deshabiliten las herramientas de seguridad y usen credenciales privilegiadas para destruir o robar datos o retenerlos como rescate", continuaron.
Fuente: Microsoft
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!