Ransomware: amenaza de ciberseguridad especialmente para empresas e instituciones públicas y privadas

Hace unos días atrás  el Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), dependiente del Ministerio del Interior, y que tiene la misión de monitorear y detectar amenazas, informarlas y solucionar incidentes tanto en el sector público como el privado, presentó el Informe de Tickets de ciberseguridad elaborado por el CSIRT-Gob durante el mes de Junio del 2019.

Según informa un artículo de prensa, el reporte de junio indica que se constataron 497 ciberataques en los que sus autores logran ingresar a sistemas o causar algún nivel de daño. Esto significa que cada día se registran 16,5 casos de este tipo.

Dentro del total, se reportaron 384 ciberataques contra el sector público (lo que equivale a 77,2% del total de los casos) y 133 contra privados. El balance indica que el 52% de los eventos fueron solucionados por el equipo de respuesta. En mayo de este año, en tanto, se presentaron 481 ataques, es decir, 16 por jornada.

Entre las vulneraciones e incidencias de seguridad analizadas se cuentan los malwares, programas computacionales que afectan a los equipos; ramsonwares, softwares que buscan secuestrar datos; defacement o distorsión de las webs, que instalan símbolos o imágenes no autorizadas en sitios de internet, o el phishing bancario, que tiene como objetivo la obtención de claves para ingresar a las cuentas de clientes para sustraer dinero.

Uno de los malware que pueden causan graves daños, tanto en la información, como en pérdidas económicas, y que bandas de delincuentes informáticos utilizan en contra de empresas e instituciones públicas como privadas son los que se categorizan como ramsonware.

Un ataque de este estilo funciona en términos simples encriptando información o limitando el acceso del usuario a sus archivos y solicitando un rescate económico, para el que habitualmente ocupan una moneda virtual como bitcoin para evitar el rastreo del receptor del dinero.

El ataque ransomware se despliega normalmente mediante un adjunto en un correo electrónico, que puede ser un ejecutable, un archivo o una imagen. Una vez que se abre el adjunto, el malware se despliega en el sistema del usuario. Los cibercriminales también pueden ocultar el malware en páginas web, infectando los dispositivos de los visitantes de estas páginas sin su conocimiento.

La infección no es evidente de inmediato para el usuario. El malware opera sigilosamente en segundo plano hasta que se despliega un sistema o un mecanismo de bloqueo de datos. Después aparece una ventana de diálogo que informa al usuario de que los datos se han bloqueado y solicita un rescate para desbloquearlo. Entonces ya es demasiado tarde para salvar los datos mediante medidas de seguridad.

En términos más específicos, existen varios tipos de ransomware, entre los que están:

  • Ransomware de cifrado

Cifra archivos personales y carpetas (documentos, hojas de cálculo, imágenes y vídeos). Generalmente cuando se intenta acceder a esos documentos muestran una ‘pantalla de bloqueo’, en la cual es necesario insertar una contraseña para desencriptarlos, contraseña que es entregada por los delincuentes informáticos previa transferencia y pago de monedas virtuales. Algunas versiones más dañinas fijan un plazo para el pago sino se destruyen los archivos capturados.

  • Lock Screen Ransomware — WinLocker

Bloquea la pantalla del PC y solicita el pago. Muestra una imagen a pantalla completa que bloquea las otras ventanas. A pesar de que no cifra ningún archivo personal, impide correcta utilización del equipo.

  • Master Boot Record (MBR) Ransomware

El Master Boot Record (MBR) es la parte del disco duro del PC que permite iniciar el sistema operativo. El MBR ransomware modifica el MBR del PC para interrumpir el proceso de inicio del sistema. En su lugar, se presenta en pantalla una orden de rescate.

  • Ransomware de cifrado de servidores web

Su objetivo son los servidores web y cifrar sus archivos. Normalmente se utilizan vulnerabilidades conocidas en los sistemas de gestión de contenido para desplegar ransomware en servicios web.

  • Ransomware de dispositivos móviles (Android)

Los dispositivos móviles (principalmente Android) pueden infectarse mediante descargas no oficiales. También pueden infectarse mediante aplicaciones no oficiales que se hacen pasar por aplicaciones populares como Adobe Flash o antivirus.

El ransomware es un malware que está en auge. De hecho se considera que hay más de 50 familias de este malware en circulación y que evoluciona rápidamente. Uno de sus motivos es justamente el éxito en recaudar dinero por los pagos de víctimas afectadas.

Así, uno de los ransomware es el llamado Gandcrab, que se detectó inicialmente en enero de 2018, y es uno de los ransomware más sofisticados que causa daños de miles de millones de dólares en todo el mundo. Se estima que los operadores de GandCrab Ransomware han ganado más de $ 2 mil millones en pagos de rescate a un promedio de 2.5 millones de dólares por semana.

Respecto a este ransomware, que ha tenido 5 versiones, recientemente La Oficina Federal de Investigaciones (FBI) publicó las claves de descifrado maestras para todas las versiones (4, 5, 5.0.4, 5.1 y 5.2) y que se puede usar tanto para la organización como para las personas que hayan sido infectadas, para evitar el pago por el rescate.

Consejos de prevención.
De acuerdo al portal No More Ransom (iniciativa del National High Tech Crime Unit de la policía de Países Bajos, el European Cybercrime Centre de Europol e McAfee) y en donde ayudan a las víctimas de ransomware a recuperar sus datos cifrados sin tener que pagar a los criminales, facilitando las claves maestras de distintos ransomware obtenidas, las principales recomendaciones de prevención son las siguientes:

  1. ¡Copia de seguridad! ¡Copia de seguridad! ¡Copia de seguridad! Contar con un sistema de recuperación de datos impedirá que una infección de ransomware pueda destruir tus datos para siempre. Es recomendable crear dos copias de seguridad: una para ser almacenada en la nube (recuerda usar un servicio que realice automáticamente copias de tus archivos) y otra en un dispositivo físico (disco duro portátil, memoria USB, otro equipo portátil, etc.). Desconéctalos de tu PC cuando se haya realizado la copia. También servirá para recuperar archivos importantes que pudieran haberse borrado accidentalmente.
  2. Usa un buen software antivirus para proteger tu sistema del ransomware. No desactives la detección mediante heurísticas ya que ésto ayuda a capturar muestras de ransomware que aún no hayan sido detectadas formalmente.
  3. Mantén el software de tu PC actualizado. Cuando tu Sistema Operativo o aplicaciones actualicen a una nueva versión, instálalas. Y si el software tiene la opción de actualizarse automáticamente, úsala.
  4. No te fíes de nadie. Literalmente. Cualquier cuenta puede estar comprometida y enlaces maliciosos pueden ser enviados desde cuentas en redes sociales de amigos, compañeros o desde juegos online. Nunca abras archivos adjuntos desde emails de alguien que no conozcas. Los cibercriminales a menudo distribuyen correos electrónicos falsos que simulan ser notificaciones legítimas remitidas desde servicios de almacenamiento en la nube, bancos, policía o agencias de recaudación de impuestos que incitan a pulsar enlaces maliciosos para instalar malware en tu PC. Ésto se conoce como ‘phishing’.
  5. Activa la opción de mostrar las extensiones de los archivos en el menú de configuración de Windows. Esto hará mucho más fácil detectar archivos potencialmente maliciosos. Manténte alejado de extensiones como ‘.exe’, ‘.vbs’ y ‘.scr’. Los estafadores pueden usar varias extensiones para camuflar un fichero malicioso como un video, una foto o un documento (como chicas-calientes.avi.exe o doc.scr).
  6. Si descubres algún proceso sospechoso en tu ordenador, desconéctelo inmediatamente de internet o de otras conexiones en red (como el WIFI de casa) — Esto prevendrá que la infección se propague.

La importancia de prevención, sobre todo para instituciones privadas y públicas es primordial, considerando la experiencia de organizaciones que han sido afectadas con este tipo de malware y que han causado daños importantes tanto en continuidad de servicios, reputación afectada y en muchos casos, dineros entregados por pagos realizados para recuperar acceso a la información secuestrada.

A nivel internacional recordamos el caso que afectó a 16 hospitales y centros de salud de Londres, Nottingham, Herefordshire, Blackburn y Cumbria, en Reino Unido. En tal oportundiad sus sistemas informáticos quedaron «temporalmente apagados». Según han relatado medios locales, trabajadores del sistema de salud recibieron mensajes en sus ordenadores pidiendo una cantidad de dinero para poder restablecer sus ficheros.

También debemos recordar el ataque a Telefónica España con la misma versión llamada WannaCry y que afectó tanto a nivel central como a distintas filiales en el extranjero. De hecho el Instituto Nacional de Ciberseguridad informó en su oportunidad de que las primeras fases del virus  afectó a Telefónica y otras compañías españolas.
Se estima que durante 12 semanas desde que el ransomware WannaCry atacó computadoras en todo el mundo, cifrando sus archivos y cobrando a sus propietarios $ 300 a $ 600 por las claves para recuperarlos. En total, los piratas informáticos obtuvieron alrededor de $ 140,000 en bitcoins de la operación.

Recientemente se informó que en EEEUU, funcionarios del Monroe College, una universidad privada con sede en Nueva York, informaron recientemente un incidente de ciberseguridad que afectó a todos los computadores de la Universidad. Producto de un ciberataque , se comprometieron los sistemas informáticos de la institución académica, exigiendo un pago de más de 2 millones de dólares a cambio de restablecer los sistemas. Al mismo tiempo, existiría un nexo con ataques del mismo estilo a sistemas de algunas ciudades en Baltimore y Florida.

En cuanto a nuestro país,  se supo que la empresa afectada fue CAP S.A., que según su sitio web es el “Principal Grupo Minero Siderúrgico de Chile”. A fines de abril y por medio de un masivo ataque de hackers, los delincuentes infectaron 44 servidores y 387 computadores de la firma, encriptaron la información que ahí se contenía y solicitaron dinero para que pudieran esta pudiera ser recuperada. De hecho se informó que el malware levantaba una ventana que decía «Nada personal, solo negocios».

A nivel de servicios públicos, también sucedió un ataque a distintos servicios dentro del Ministerio de Agricultura. Así, según se informó, «la unidad afectada activó los protocolos correspondientes e informó oportunamente al CSIRT de Gobierno, el que ha prestado colaboración desde el inicio del incidente», afirmó el CSIRT, agregando que: «el equipo forense del CSIRT de Gobierno se ha trasladado a las oficinas de la unidad afectada».

Finalmente, el último caso conocido afectó a la empresa ECM, firma que provee una plataforma de imagenología al Servicio de Salud Metropolitano Sur Oriente, que agrupa a grandes hospitales, como son el Sótero del Río, La Florida, Padre Hurtado, San José de Maipo y el CRS Cordillera. En estos recintos tuvieron problemas para utilizar el sistema que almacena la información de exámenes como radiografías, ecografías, escáneres y otras, justamente por efectos de un ransomware.

Importante, por tanto la prevención e inversión en medidas de seguridad, sobre todo a instituciones en las que su activo principal justamente son los datos e información.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Scroll al inicio