Uno de los malwares mas efectivos de nuestros tiempos es el ransomware. No existe industria que no haya sido atacada por este malware hasta ahora.
El fin de semana pasado el condado de Delaware, Pensilvania, pagó un rescate de 500.000 dólares después de que sus sistemas fueran atacados por el ransomware DoppelPaymer.
El condado de Delaware reveló que habían desconectado partes de su red informática después de descubrir que su red estaba comprometida.
“El condado de Delaware descubrió recientemente una interrupción en partes de su red informática. Comenzamos una investigación inmediata que incluyó desconectar ciertos sistemas y trabajar con especialistas en informática forense para determinar la naturaleza y el alcance del evento. Estamos trabajando diligentemente para restaurar la funcionalidad de nuestros sistemas “, indicó la alerta del condado de Delaware.
El condado declaró que la Oficina de Elecciones y el Departamento de Servicios de Emergencia del condado no se vieron afectados y están en una red diferente a la de los sistemas que fueron infectados.
Los medios locales han declarado que los operadores de ransomware tenían acceso a redes que contienen informes policiales, nóminas, compras y otras bases de datos. Como parte del ataque, los actores de la amenaza exigieron un rescate de $ 500,000 para recibir un descifrador.
“Las fuentes dijeron que el condado está en el proceso de pagar el rescate $ 500.000, ya que está asegurado para este tipo de ataques,” informo Philadelphia’s 6abc’s Action News .
DoppelPaymer son los responsables del ataque
Desde entonces, las fuentes comental que la banda de ransomware DoppelPaymer estaba detrás del ataque y que el condado de Delaware había pagado el rescate.
DoppelPaymer deriva su nombre de BitPaymer , que comparte una gran parte del código, pero se ha mejorado con el tiempo con un proceso de cifrado por subprocesos para una operación más rápida.
Se sabe que DoppelPaymer roba archivos no cifrados cuando realiza sus ataques. No se sabe si esto se hizo en el ataque contra el condado de Delaware.
También se le dijo que la banda de ransomware aconsejó al condado de Delaware que cambiara todas sus contraseñas y modificara la configuración de su dominio de Windows para incluir salvaguardas del programa Mimikatz.
Mimikatz es una aplicación de código abierto comúnmente utilizada por bandas de ransomware para recolectar credenciales de dominio de Windows en una red comprometida.
Una vez que los actores de amenazas obtienen acceso a una contraseña de administrador de dominio de Windows, implementan su ransomware en la red para cifrar los dispositivos.
Otras víctimas atacadas por DoppelPaymer en el pasado incluyen Compal , PEMEX (Petróleos Mexicanos) , la ciudad de Torrance en California, la Universidad de Newcastle , el condado de Hall en Georgia , Banijay Group SAS y Bretagne Télécom .
mimikatz (this link opens in a new window) by gentilkiwi (this link opens in a new window)
A little tool to play with Windows security
Fuente
