A través de un comunicado, Microsoft Security Response Center, lanzó una advertencia con respecto al ransomware DopplePaymer o DoppelPaymer.
Según Microsoft, el acceso y propagación de este ransomware ha sido a través de operadores humanos que a través de un equipo remoto utilizan credenciales de administrador correspondientes a los sistemas que buscan infectar, lo que puede dar una idea de lo que ocurrió en el caso de PEMEX.
Después de un largo y minucioso análisis reveló que no aprovecha la vulnerabilidad Bluekeep, que se ha presentado en diversas versiones de Windows, el cual se ha explotado para acceder al sistema y contagiar la red a la que este esté conectada.
“Microsoft ha estado investigando ataques recientes de actores maliciosos utilizando el ransomware Dopplepaymer. Hay información engañosa que circula sobre los equipos de Microsoft, junto con referencias a RDP (BlueKeep), como formas en que se propaga este malware. Nuestros equipos de investigación de seguridad han investigado y no han encontrado evidencia que respalde estas afirmaciones. En nuestras investigaciones descubrimos que el malware se basa en operadores humanos remotos que usan las credenciales de administrador de dominio existentes para extenderse a través de una red empresarial”, explicaron los directivos del Centro de Seguridad de Microsoft, Mary Jensen y Dan West.
Adicionalmente los directivos indicaron que se debe estar atentos a las amenazas que implica DopplePaymer como la motivación necesaria para establecer medidas de seguridad vinculadas con la higiene y control de credenciales, reducción de privilegios y la segmentación de la red.
“Estas mejores prácticas pueden ayudar a evitar que los operadores de Dopplepaymer y otros atacantes deshabiliten las herramientas de seguridad y usen credenciales privilegiadas para destruir o robar datos o retenerlos como rescate”, continuaron.