Incluso las grandes empresas como Honda pueden ser víctimas de un ataque de ransomware dirigido. Siga estos pasos para fortalecer su red de Windows contra ellos.
El servicio al cliente y los servicios financieros de Honda aparentemente fueron golpeados recientemente por un ataque de ransomware . Kaspersky encontró muestras en la base de datos VirusTotal que hacen parecer que el ransomware Snake fue el objetivo de la compañía. Este incidente me hizo pensar en lo que podemos aprender de cómo Honda fue el objetivo de proteger mejor las redes de Windows de los ataques de ransomware.
Kaspersky indicó que el malware se lanzó utilizando un archivo llamado nmon.bat. Llamar a un archivo malicioso con la extensión .bat significa que las herramientas de alerta verían que se utilizó un archivo por secuencias de comandos o por lotes en la red. En muchos entornos, este sería un archivo permitido.
Los atacantes usaron un archivo llamado KB3020369.exe en el ataque. Esto es interesante ya que el número 3020369 de Microsoft Knowledgebase es para un parche de pila de servicio de Windows 7. Sin embargo, el nombre del archivo del parche real no es KB3020369.exe, sino Windows6.1-KB3020369-x64.msu. Los atacantes nombraron archivos maliciosos en un patrón para “esconderse a simple vista” de los profesionales de la tecnología.
El ransomware Snake elimina las instantáneas de volumen de los sistemas infectados y luego elimina los procesos, incluidos los relacionados con máquinas virtuales, sistemas de control industrial, herramientas de administración remota y software de administración de red. La secuencia de ataque se creó para resolver dominios dentro del dominio de Honda, como señalaron investigadores externos en un análisis del ataque. Esto indica que los atacantes atacaron la red Honda.