Empresa de material deportivo

RANSOMWARE Encriptación de datos.

Antecedentes:

Empresa distribuidora de material deportivo. Un día no consigue entrar a su programa de gestión, tiene todo el servidor encriptado.

Resumen:

Realizamos una copia del servidor encriptado para analizarlo en nuestro laboratorio forense.

Los atacantes habían accedido desde una maquina cliente de la red que estaba infectada, se conectaban por escritorio remoto internamente al servidor, escalando privilegios consiguen crear un usuario y contraseña en el servidor con propiedades administrativas, una vez dentro deshabilitan los servicios de antivirus. Instalan un programa de acceso remoto y con esto ya tienen acceso desde el exterior, realizando la encriptación tres días después.