Un millón de dólares a cambio de infectar las redes de tu propia empresa: la última táctica de los cibercriminales

Raquel Holgado NOTICIA07.09.2021 - 14:07h
Este es el correo inicial que reciben los empleados.
Este es el correo inicial que reciben los empleados.
Abnormal Security
Este es el correo inicial que reciben los empleados.

Un grupo de ciberdelincuentes de Nigeria está buscando empleados que actúen desde dentro de las compañías a cambio de un millón de dólares en bitcoins, según un informe de Abnormal Security. Su intención es implementar el ransomware Black Kingdom en las redes de las empresas desde el interior de las mismas.

Antecedentes al suceso

Abnormal Security detectó y bloqueó el pasado 12 de agosto correos electrónicos dirigidos a sus empleados. En los mensajes, los cibercriminales pedían a los trabajadores que fuesen cómplices de una serie de amenazas internas.

El objetivo de estos emails era infectar las redes de Abnormal Security con ransomware. Sin embargo, esta compañía no ha sido la única que los piratas informáticos tienen en el punto de mira.

Cómo actúan los atacantes

En el informe, Abnormal Security explica que “el remitente dice al empleado que si son capaces de desplegar ransomware en un ordenador de la empresa o en el servidor de Windows se le ofrecerá un millón de dólares en bitcoin o el 40% del “presunto rescate” de 2,5 millones de dólares.

Los ciberdelincuentes han dado a los trabajadores dos maneras de contactar con ellos: a través de un correo electrónico o de Telegram. Para ello, han facilitado una cuenta de Outlook y un nombre de usuario de la plataforma de mensajería instantánea.

La investigación de Abnormal Security

Dado que algunos empleados de la compañía recibieron correos electrónicos de los ciberdelincuentes, Abnormal Security aprovechó para investigar y conocer su táctica.Construimos una personalidad ficticia y nos comunicamos con el actor en Telegram para ver si podíamos obtener una respuesta”, comentan en su informe.

Al poco tiempo de enviar el mensaje, el atacante respondió y permitió que Abnormal Security conociese “la mentalidad de este actor de amenazas”. El atacante pidió al empleado ficticio que accediese al servidor Windows de la falsa empresa e introdujese el ransomware.

El atacante mandó dos enlaces desde los que se podía descargar el archivo malicioso, tanto en WeTransfer como en Mega.nz. El documento recibía el nombre de ‘Walletconnect (1).exe’ y, según confirmó Abnormal Security, se trataba de un ransomware.

Los ciberdelincuentes proporciona los enlaces para descargar el archivo de ransomware.
Los ciberdelincuentes proporciona los enlaces para descargar el archivo de ransomware.
Abnormal Security

Aunque en un inicio el pirata informático dijo que esperaba conseguir 2,5 millones de dólares de la compañía, acabó reduciendo la cifra del rescate a 120.000 dólares, incluso cuando el empleado ficticio comentó que la empresa para la que trabajaba tenía un ingreso anual de 50 millones de dólares.

El ransomware Black Kingdom

Este malware, también conocido como DemonWare y DEMON, comenzó a darse a conocer sobre todo a principios de marzo de este año. En aquel entonces, se descubrió que los atacantes estaban provocando fallos que afectaban a los servidores de Microsoft Exchange e infectaban sistemas sin parches con los ransomware.

Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.

Mostrar comentarios

Códigos Descuento

© 20 Minutos Editora, S.L.

Queda prohibida toda reproducción sin permiso escrito de la empresa a los efectos del artículo 32.1, párrafo segundo, de la Ley de Propiedad Intelectual. Asimismo, a los efectos establecidos en el artículo 33.1 de Ley de Propiedad Intelectual, la empresa hace constar la correspondiente reserva de derechos, por sí y por medio de sus redactores o autores.