El gigante tecnológico estadounidense Microsoft ha lanzado una alerta acerca del ransomware DopplePaymer, el cual presuntamente fue el software malicioso que infectó las computadoras de Petróleos Mexicanos (Pemex).

En un comunicado, directores del Microsoft Security Response Center, el equipo de la compañía encargado de la respuesta a incidentes de seguridad cibernética, advirtieron que el ransomware DopplePaymer no aprovecha la vulnerabilidad Bluekeep, que han presentado diversas versiones del sistema operativo Windows, para acceder a un sistema y dispersarse en la red a la que este esté conectada.

De acuerdo con Microsoft, la forma de acceso y dispersión de este ransomware es a través de operadores humanos que de forma remota utilizan credenciales de administrador de los sistemas a los que buscan infectar y dispersarse.

Microsoft ha estado investigando ataques recientes de actores maliciosos utilizando el ransomware Dopplepaymer. Hay información engañosa que circula sobre los equipos de Microsoft, junto con referencias a RDP (BlueKeep), como formas en que se propaga este malware. Nuestros equipos de investigación de seguridad han investigado y no han encontrado evidencia que respalde estas afirmaciones. En nuestras investigaciones descubrimos que el malware se basa en operadores humanos remotos que usan las credenciales de administrador de dominio existentes para extenderse a través de una red empresarial”, refirieron Mary Jensen y Dan West, directivos del Centro de Seguridad de Microsoft.

Los directivos indicaron que los administradores de seguridad deben observar la amenaza que representa DopplePaymer como un aliciente para establecer medidas vinculadas con la higiene de credenciales, la reducción de privilegios y la segmentación de la red.

“Estas mejores prácticas pueden ayudar a evitar que los operadores de Dopplepaymer y otros atacantes deshabiliten las herramientas de seguridad y usen credenciales privilegiadas para destruir o robar datos o retenerlos como rescate”, explicaron.

El ransomware, término que proviene de las palabras ransom (secuestro) y malware (software malicioso), es un tipo de malware que los cibercriminales usan para encriptar la información de los sistemas infectados. Al usar este tipo de software malicioso, los cibercriminales buscan pedir un rescate, casi siempre económico, para devolver la información a los titulares de la misma, en este caso Pemex. Esto afecta a la disponibilidad de la información, considerada uno de los tres elementos básicos de la seguridad informática, además de la integridad y la confidencialidad.

La información revelada por Microsoft ofrece pistas sobre el ataque en contra de la petrolera mexicana, pues puede deducirse que los ciberatacantes contaban con credenciales de administradores que les permitieron acceder a la red de la compañía.

La empresa estatal Petróleos Mexicanos fue infectada el domingo 10 de noviembre por un software malicioso conocido como ransomware que, de acuerdo con la propia compañía, sólo afectó “a menos de 5% de los equipos personales de cómputo”.

[email protected]