En el ciberespacio el estar con la guardia baja se paga

Ransomware

“El mensaje de correo electrónico entró en el buzón genérico del Ayuntamiento de Rialp (Llleida, 660 habitantes) con un enunciado aparentemente inocente: “Factura Carmen”. La administrativa que lo abrió no sospechó tampoco del archivo  adjunto que incoporaba el mensaje. Al descargar el supuesto recibo, un virus cibernético secuestró en el acto las bases de datos que almacenaba el sistema informático del Consistorio. Los hackers exigían el pago de un rescate a cambio de liberar la información”.

Así comenzaba una noticia del diario El País del pasado 20 de abril, titulada “Un pueblo del Pirineo de Lleida sufre un secuestro informático”. Se trataba de un secuestro digital de datos, tal vez otro ataque de ransomware, que alertaba una vez más de los peligros que conlleva ese software malicioso que infecta un equipo y cifra todos los datos para luego exigir rescate por ellos. .

En efecto, tras esta operación, la víctima se encuentra con un mensaje del ciberdelincuente en el que se pide un rescate para poder recuperar esos archivos. El importe puede ser elevado o no y se solicita en la moneda virtual “bitcoin” con el fin de evitar rastros. De esta forma obtienen grandes cantidades de dinero en muy poco tiempo, motivo por el que el “ransomware” se ha convertido en uno de los negocios más rentables en el ciberespacio,

A pesar de todo, esta modalidad no constituye novedad en el mundo del ciberdelito, ya que en 1989 se tuvo noticia del primer ataque de ransomware. El malware utilizado fue el troyano AIDs  el cual, después de ser instalado, encriptaba los archivos de los usuarios y les pedía que enviaran 189 dólares a una oficina de correos de Panamá para “renovar su licencia”.  Desde entonces, los ataques de ransomware se han multiplicado y las previsiones de crecimiento son impresionantes.  La competencia entre distintas bandas de ciberdelincuentes las lleva continuamente a buscar maneras más eficaces de extender sus códigos maliciosos.

Mario García, director general de Check Point para España y Portugal
Mario García, director general de Check Point para España y Portugal

Según Mario García, director general de Check Point para España y Portugal “en los últimos años, los secuestros online se han convertido en una epidemia global. Ninguna industria está a salvo de este tipo de ataques, que afectan desde hospitales hasta administraciones públicas, pasando por grandes empresas y pymes. Es fundamental que nos concienciemos de esta realidad: el ransomware es una de las principales amenazas de las empresas a nivel mundial y su crecimiento se multiplica de forma exponencial”.

Ante este chantaje en toda regla el consejo de Check Point es rotundo: no ceder al chantaje. “Pagar el rescate no garantiza que se vayan a recuperar los documentos y contribuye a que la ciberdelincuencia se lucre y crezca, y por lo tanto, el número de malware enfocado a este tipo de secuestros aumente”, recomienda Mar García, directora general de Check Point para España y Portugal.

Si la repercusión de lo del Ayuntamiento de Rialp – al menos en España – fue un aviso más para quienes no supieron o no quisieron – voluntaria o involuntariamente – reflexionar sobre este aviso, el pasado viernes recibieron la lección completa. Se enteraron de lo que significaba un ataque un gran ataque cibernético impactando en organizaciones de toda Europa y con una dimensión nunca antes vista. Aunque un parche para reparar la vulnerabilidad fue liberado por Microsoft el pasado mes de  marzo, muchos sistemas pueden no haber tenido la actualización instalada, según los expertos.

Las autoridades en el Reino Unido declararon que tenían un “incidente importante” después de que varios hospitales del Servicio Nacional de Salud (NHS) en Inglaterra y Escocia se vieran afectados.  Como el NHS cuenta con muchos socios y proveedores que se conectan a su red central y dado que la complejidad es enemiga de la seguridad, es razonable aventurar que áreas de esa red, especialmente las operadas por los proveedores, no están tan bien mantenidas como deberían. Esto puede significar que no se aplicaron parches que podían haber desbaratado el WannaCry. Así que, una vez que el gusano entró, pudo extenderse de forma descontrolada.

Entre las empresas españolas afectadas figuraba Telefónica, que confirmó que estaba lidiando con un “incidente  de seguridad cibernética”, pero aseguró que sus clientes no se verían afectados.  Las compañías energéticas Iberdrola y Gas Natural también registraron problemas en sus sistemas.  En Italia, los ordenadores de un laboratorio universitario quedaron bloqueados por el mismo programa.

Ransomware

Sobre las 18 horas del pasado día 12 Costin Raiu, de Kaspersky hablaba ya de 45.000 ataques en 74 países, describiendo el virus como un gusano” que se autorreplicaba y esparcía a gran velocidad.  Dos horas más tarde Jakub Korustek, en un blog de la firma de seguridad informática Avast, escribía “Hemos visto más de 75.000 casos en 99 países”. Por su parte Forcepoint Security señalaba que el gusano de estaba multiplicando vía correos electrónicos maliciosos con más de 5 millones de emails.

Kaspersky Lab  por su parte, dio a conocer un nuevo post en su blog Securelist, donde analiza la actividad de WannCry, el ransomware utilizado para atacar a organizaciones de todo el mundo, ámbito en el que los productos de Kaspersky Lab detectaron y bloquearon con éxito un gran número de ataques de ransomware. En estos ataques, los datos se cifran con la extensión «.WCRY» añadida a los nombres de archivo. El análisis indica que el ataque, denominado «WannaCry», se inicia a través de una ejecución remota de código SMBv2 en Microsoft Windows. Pero desafortunadamente, parece que muchas organizaciones aún no habían instalado el parche.

“¡Ups, tus archivos han sido encriptados!” decía el ransomware conocido como WannaCryptor o WanaCrypt0r 2.0, aunque también es se le conoce ya como “WannaCry” (quiero llorar, en inglés). En una de las pantallas bloqueada este viernes se exigía un pago a cambio de liberar el sistema, que debía de ser completado antes del 15 de mayo o de lo contrario los archivos se eliminarían cuatro días después. El monto, los mencionados 300 dólares que debían de ser pagados mediante bitcooins.

“No pierdas el tiempo, nadie puede recuperar tus archivos sin nuestro servicio de desencriptación” decía el mensaje que supuestamente garantiza la devolución de la información a cambio del pago.

Este malware parece haberse extendido a través de un gusano. A diferencia de muchos otros programas maliciosos, Wanna Cry tiene la capacidad de moverse por una red por sí mismo. Si la mayoría de los otros gusanos necesitan la actividad humana para expandirse, intentando engañar a la víctima potencial para que abra un documento adjunto que alberga el código de ataque, WannaCry en cambio una vez que está dentro de una organización rastreará las máquinas vulnerables y las infectará también. Su impacto público ha sido tan grande debido a que grandes cantidades de máquinas en cada organización que ataca quedaron en situación de vulnerabilidad.

Aunque hasta ahora se desconoce quién puede estar detrás de los ataques y si fueron ejecutados de forma coordinada, sin embargo, varios expertos que dan seguimiento a la situación apuntan a las vulnerabilidades dadas a conocer por un grupo conocido como The Shadow Brokers, que recientemente afirmó haber robado herramientas de hackeo a la Agencia de Seguridad Nacional (NSA, en inglés) de EE.UU.  Sin embargo, no hay ninguna indicación de quién está específicamente detrás del ataque ni sabemos exactamente cómo infectó los sistemas del NHS.

Ciberatracos en el sector financiero

WannaCry parece haber sido creado para explotar un fallo detectado por la Agencia Nacional de Seguridad de EE.UU. (NSA, por sus siglas en inglés).  Cuando se filtraron detalles del error, muchos investigadores de seguridad predijeron que esto llevaría a la creación de gusanos de ransomware automáticos. En ese caso, puede ser que los hackers sólo hayan necesitado unos meses para hacer realidad esa predicción.

El virus WannaCry sólo infecta máquinas que funcionan con Windows. Si no actualizas Windows y no se es precavido al abrir y leer correos, se puede estar en evidente situación de riesgo.

A día de hoy, recuerda Check Point el malware tiene dos formas principales de atacar a las empresas: bloqueando la pantalla del usuario o encriptando sus archivos.

1)      El ransomware de bloqueo de pantalla hace que el ordenador se congele y muestre un mensaje con las exigencias del cibercriminal. El equipo no funciona hasta que el malware es eliminado. A pesar de ser una molestia, se puede sobrevivir a este tipo de ransomware, ya que por lo general afecta a un solo ordenador, y es relativamente fácil de eliminar – es la forma más primitiva de este malware.

2)      El ransomware de encriptación de datos constituye una gran amenaza para las empresas. Este tipo de malware, aparecido en 2013, es capaz de restringir el acceso a los usuarios a sus propios archivos e información, tanto en ordenadores individuales como en redes corporativas en su totalidad. Este tipo de ataque, cuya variante más famosa es Cryptolocker, puede considerarse una auténtica epidemia.

Datos para un informe
 

La pregunta de muchos usuarios ¿afecta a los ordenadores personales?. La respuesta es sí y además, es una de las modalidades que más han crecido entre usuarios de ordenadores personales, normalmente a través de correos electrónicos. Una de las variantes de ransomware más extendidas se llama Locky.  Se trata de un virus troyano que recibe la víctima a través de un correo electrónico que le pide abrir un archivo adjunto con un título similar a «documento de pago» o «recibo».  Una vez abierto, a través del programa Word o en archivo comprimido, los comandos (macros) se ejecutan de forma automática y «toman» el control del ordenador. Lo siguiente que ve la víctima es una pantalla con instrucciones de pago en bitcoins como los que se vieron este viernes alrededor de mundo.  Otros ransomware comunes son CryptoWall4, PadCrypt o Fakben.

La otra angustiosa pregunta: ¿Se pueden detener estas infecciones?  La verdad es que no. Pero las organizaciones trabajan duro para protegerse. Colocan cortafuegos, instalan programas antivirus, aplican filtros para los archivos, ejecutan programas de detección de intrusos y actualizan su software de forma regular para mantener lejos el malware y a los hackers. Pero hay que ser conscientes de que ninguna protección es 100% perfecta o total. La razón es simple, las organizaciones están gestionadas por personas y las personas cometen errores.

Sabedores de esto, muchos ciberdelincuentes intentan engañar a quienes trabajan en estas empresas para que abran documentos adjuntos o enlaces enviados por correo electrónico que pueden iniciar la infección, que es la práctica que se conoce como phising.

Pero no olvidemos miles de millones de nombres de usuario y contraseñas han sido robados y compartidos por hackers en los últimos años. Algunas ciberbandas están estudiando y analizando estos datos para encontrar credenciales de organizaciones a las que pueden atacar. Esto les permite iniciar sesión como si fueran un empleado de la empresa y comenzar su ataque desde dentro.

                                 ¿Qué se puede hacer para evitarlo?

La herramienta más eficaz para luchar contra el ransomware es la prevención. Check Point está siempre por delante de las amenazas y para evitar que el ransomware afecte a las empresas, enumera las 5 claves fundamentales que deben tener en cuenta:

  1. Hacer copias de seguridad de los ficheros y archivos. El almacenamiento cloud y las redes corporativas tienen cada vez más protagonismo y se está perdiendo la costumbre de hacer copias de seguridad. Tener un duplicado de toda la información y los archivos es vital para evitar el sobresalto de un secuestro.
  2. Formar a la plantilla para que detecten amenazas potenciales. Una gran parte de las campañas de secuestro de datos siguen utilizando spam y phishing. Por esta razón, la formación de los trabajadores es un elemento clave a la hora de evitar cualquier infección. Si son capaces de detectar los emails y las páginas web sospechosas, colaborarán de forma proactiva para mantener la empresa segura. Además, hay que concienciarles para que reporten cualquier actividad sospechosa que detecten.
  3. Limitar el acceso a los datos y archivos. Las compañías deben asegurarse de que los empleados sólo tienen acceso a los ficheros que necesitan para trabajar. Así, en caso de una infección, la información de los servidores no se verá comprometida al completo. Es necesario poner todas las barreras necesarias para que, en caso de ataque exitoso, no afecte a todos los datos corporativos.
  4. Actualizar las herramientas de protección de la empresa. Desde el punto de vista de la ciberseguridad, es importante tener siempre la última versión de la solución de seguridad instalada. Aunque es cierto que las versiones estándar no siempre son efectivas para detectar ataques de ransomware avanzados, son la base de la seguridad de las compañías y deben mantenerse actualizadas.
  5. Implementar una estrategia de seguridad con múltiples capas e incluir tecnologías de prevención contra amenazas avanzadas. Instalar una solución de seguridad multicapa es la mejor estrategia para evitar el secuestro de datos y sus desagradables consecuencias. Las compañías necesitan complementar sus soluciones de seguridad e IPS con herramientas avanzadas que les protejan contra el malware desconocido. Dos tecnologías clave que deben incluir son la desinfección de archivos y el sandboxing avanzado (SandBlast). Cada una de estas soluciones ofrece protección a un distinto nivel, pero combinadas con muy eficaces contra los ataques desconocidos a nivel de red y directamente en los endpoints.

1 Comentario

  1. 🙂

    Muy motivante tu artículo y hay cuantiosas información que no conocía
    que me has aclarado, esta maravilloso.. te quería devolver el espacio que dedicaste, con unas
    infinitas gracias, por preparar a personas como yo jajaja.

    Besos, saludos

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.