¿Ransomware en una computadora pone en riesgo toda la red?

Respuesta corta, sin ningún tipo de información adicional, al menos se debe considerar el riesgo de infección de la red como importante.

Lo principal es al menos poder poner un nombre en el malware, e incluso mejor detectar cómo se infectó esta primera computadora.

Algunos gusanos utilizan la conexión de red para propagarse a sí mismos: escanean la red local que generalmente se dirige a una falla definida del SO no parcheado y aprovechan esto para propagarse. Sin embargo, este es el peor escenario porque:

1. El otro sistema puede estar actualizado y correctamente parcheado,
2. No todos los gusanos están actuando así,
3. Es posible que ni siquiera esté enfrentando un gusano, en tal caso, la contaminación por ransomware fue simplemente el resultado de otra forma de infección que no afectó al resto de la red (correo electrónico de suplantación de identidad, error de navegador explotado por algún sitio visitado por usuario, etc.).

Si es posible, lo alentaría a que busque actividades sospechosas en la red. Una docena de PC infectadas que escanean la red para encontrar víctimas adicionales suelen ser bastante ruidosas ...

Un escenario de red común implementa un servidor de archivos. Si el sistema infectado tiene acceso al servidor de archivos, puede tanto cifrar como infectar archivos en el servidor de archivos, lo que pone en riesgo a todos los demás sistemas de la red, así como a la propiedad intelectual de la empresa en caso de que la empresa sea laxa con respecto a las políticas de respaldo. .

Me siento realmente agravado cuando la gente habla de "infectar la red". Típicamente, hay dos temas separados en juego aquí. El hecho de que una computadora comparta una subred con otra no la hace vulnerable (o, al menos, no debería , a excepción de los errores).

La verdadera vulnerabilidad está en las credenciales que tiene la computadora infectada. En las computadoras Windows unidas a un dominio, el servicio de Active Directory que maneja la autenticación y la distribución de credenciales con frecuencia se ejecuta en (y solo funciona) en un segmento de red particular, lo que lleva a la idea errónea de que "la red" no es solo un medio de transmisión. datos, pero una cosa "confiable".

En resumen, busque a qué máquinas tuvo acceso la computadora infectada. Si la computadora infectada era una máquina de Windows unida a un dominio, la máquina infectada y los usuarios conectados a ella podrían haber tenido acceso a otras computadoras en la red, lo que los colocaría en riesgo. Si era una máquina Windows que no estaba unida a un dominio, preocuparse por otras máquinas en la red que usaban el mismo nombre de usuario y contraseña que un usuario en la máquina infectada, o por que la máquina infectada había guardado las credenciales para (ver el Administrador de credenciales en las cuentas registradas).

También vale la pena señalar que la mayoría de ransomware no es tan inteligente. No es típicamente una cosa de auto-propagación, solo una carga útil entregada por algún otro mecanismo de explotación. Realmente no lo ayudaría a cifrar archivos en otras computadoras a menos que también muestre una demanda de rescate, y eso requiere ejecución de código, no solo acceso a archivos. La mayoría del ransomware no tocará la red a menos que tenga una unidad de red asignada, y solo entonces porque confunde a aquellos con las unidades locales.