Archivos por Etiqueta: ransomware

Los peligros de «ransomware», la gran amenaza de las empresas en internet

El «ransomware» lleva bastantes años figurando entre las amenazas más importantes para la economía y la seguridad de las empresas. Este tipo de virus, que ha estado detrás de algunos de los ciberataques más sonados contra hospitales en estos tiempos de pandemia, tiene como objetivo el secuestro de los datos y dispositivos de una compañía para, a posteriori, pedir un rescate a a la víctima. Según un reciente informe de la firma de ciberseguridad Sophos, en el que han participado 5.000 responsables de TI de empresas de 26 países del mundo, durante 2019 el 51 por ciento de las compañías sufrieron un ataque de este tipo. Cifra que crece en el caso concreto de España hasta alcanzar el 53 por ciento.

«Un ataque de «ransomware» tiene muchas implicaciones. Por un lado, económicas. El gasto de recuperar el control se encuentra en los 730.000 dólares de media a nivel mundial. Por lo que el impacto económico es grande. Luego, evidentemente, también supone problemas operacionales y reputacionales para la compañía que lo sufre», explica a ABC Ricardo Mate, director general de Sophos Iberia.

Y es que una amenaza de este tipo puede paralizar por completo la actividad de la compañía infectada. A finales de 2019, la empresa de seguridad Prosegur sufrió un ataque de estas características que obligó a «restringir las comunicaciones con los clientes para evitar la propagación» del virus durante más de 24 horas. El «ransomware» empleado en esta acción fue el ruso Ryuk, uno de los más populares entre los ciberdelincuentes en la actualidad. «Lleva activo desde 2018 y es muy sofisticado. Se usa en ataques muy específicos. Una vez compromete un equipo intenta trasladarse de forma lateral al resto de dispositivos que comparten un dominio. Utiliza ingeniería social para engañar al usuario y que lo descargue», explica a ABC el «hacker» Deepak Daswani.

La solución puede ser peor que la enfermedad

En la mayoría de casos, el objetivo que persigue un criminal cuando infecta la red de una empresa con un virus de este tipo es el pago de un rescate; normalmente en forma de Bitcoins, ya que resultan más difíciles de rastrear. Sin embargo, según el informe de Sophos, el que una compañía ceda a la presión y pague, no implica que vaya a ahorrarse dinero. Tampoco que vaya a recuperar necesariamente el control de su información.

«De las empresas que vieron sus datos encriptados a nivel global, un 26 por ciento reconocieron que pagaron. La cosa cambia en el caso de España, que es el país del informe en el que un menor número de empresas reconocieron haber pagado, tan solo un 4 por ciento. Lógicamente, una cosa es reconocerlo y otra que, efectivamente, sea así. También hay que decir que el coste que han pagado las que han accedido al rescate ha sido el doble de las que no lo han pagado», expresa el director general de Sophos.

Según se explica en el informe, las compañías que sufrieron un ataque de este tipo, pero se negaron a pagar, tuvieron unas pérdidas medias, a nivel mundial, de 730.000 dólares. En el caso de las que terminaron accediendo al pago, la cifra ascendió hasta los 1,2 millones de dólares. Respecto a los principales objetivos de las empresas, el informe de Sophos destaca que, a nivel mundial, los medios de comunicación son uno de los sectores predilectos de los ciberdelincuentes.

«A nivel mundial, los medios de comunicación o de entretenimiento suelen ser los que más ataques de este tipo sufren. Les siguen las empresas de energía y otras infraestructuras críticas y las de tecnologías de la información. En España hemos visto que la administración pública también se ha visto bastante afectada. Algo curioso, porque si hablamos en términos globales suele ser la que menos sufre este tipo de amenazas. Aunque el sector de la sanidad no está desglosado como tal en el informe, en el último año también hemos visto cómo sufre muchos ataques», apunta el director general de la empresa de ciberseguridad. Mate recuerda, en este sentido, el ataque de «ransomware» que sufrió Prisa Radio, en España, a principios del mes de noviembre del año pasado.

El presente y el futuro de la amenaza

En tiempos de pandemia, los criminales están redoblando esfuerzos para sacar tajada del enorme número de usuarios que están conectados a la red a todas horas del día. Según informó Google, sus equipos de seguridad detectaron 18 millones de intentos diarios de ciberataques durante el pasado mes de abril. En lo que se refiere, en concreto, al «ransomware» tanto la Policía como la Guardia Civil han notificado intentos de infección de centros sanitarios durante los últimos meses. Algo que podría ser, si cabe, especialmente grave en un momento como el actual.

«Evidentemente, un ataque contra un centro sanitario puede ser tan peligroso como uno imagina. Puede costar vidas humanas. Hay algunos sectores que son así. Asimismo, es cierto que vemos una tendencia en lo que se refiere a ataques contra hospitales. Tanto en España como en otros países», decía la semana pasada a este diario Juan Santamaría, director de la empresa de ciberseguridad española Panda Security.

José de la Cruz, director de tecnología de la compañía de seguridad Trend Micro, afirma a ABC que actualmente los ataques de tipo «ransomware» se están volviendo cada vez más sofisticados y, por tanto, más peligrosos: «Antes había dos tipos de ataque de «ransomware». Uno era el genérico y funcionaba igual que una campaña de spam. Cuantos más usuarios picasen mejor, pero no se buscaba infectar a un usuario o empresa en concreto. El otro era dirigido, que es el que si que está destinado a afectar a alguien en concreto».

«La tercera derivada es la que afectó, por ejemplo, a Everis o a Cadena Ser. Llevamos viendo como gana importancia durante los últimos meses y ahora, por supuesto, sigue. Se trata de los ataques combinados en los que se emplean tres tipos de virus. Primero lanzan una campaña masiva para afectar al mayor número posible de empresas. Hecho esto, en lugar de secuestrar los datos y pedir un rescate, lo que hace el ciberdelincuente es subastar en la «dark web» la infección para que lo explote quien quiera», continua De la Cruz.

Mate, por su parte, apunta a este respecto que «estamos viendo es un número de ataques mucho más dirigidos y cada vez más inteligentes. De hecho, hemos encontrado nuevas variantes de «ransomware» que lo que hacen es robar la información antes de cifrarla. Con ese robo pueden pedir rescates más importantes amenazando con hacer públicos los datos. Recientemente la empresa EDP en Portugal sufrió un ataque de este tipo gracias al uso del ransomware Ragnar Locker».

Asimismo, Lorenzo Martínez, director de la consultora informática Securízame, señala que esta amenaza no ha dejado de evolucionar con los años. A su vez, explica cómo debe actuar una empresa para combatirla: «El «ransomware» es uno de los mayores enemigos que he tenido en mi vida. Llevo enfrentándome a él desde 2012. Su evolución ha sido brutal. Los primeros permitían recuperar ficheros eliminados e información desde puntos de restauración de Windows. A día de hoy están muy bien diseñados. Son mucho más efectivos y sofisticados. Mi recomendación es prevenir, pero muchas herramientas de seguridad pueden ser salvadas por los ciberdelincuentes, por lo que es importante disponer de copias de seguridad. Y para ello, hay que tener un buen sistema de back up. La única solución efectiva es que, además, sea a prueba de «ransomware», en concreto».

 

ransomware-kI6D--620x349@abc

Prosegur sufre un ciberataque y se ve obligada a paralizar sus servicios

Los ciberataques se han convertido en uno de los mayores quebraderos de cabeza de las empresas a nivel internacional. Si hace unas semanas la Cadena Ser y la compañía Everis informaban de que habían sido atacadas por un virus de tipo ransomware, que secuestra los dispositivos infectados para después pedir un rescate a la víctima, ahora la afectada ha sido Prosegur. La firma especializada en seguridad ha sido atacada durante la mañana de hoy y se ha visto forzada a aplicar los protocolos de emergencia y «restringir las comunicaciones con los clientes para evitar la propagación», según ha informado la empresa a través de redes sociales.

Detrás del ataque, según expresa Prosegur en una actualización de la información en su cuenta de Twitter, se encuentra Ryuk, un virus del tipo ransomware y de origen ruso. Ya estuvo relacionado con los ataques que sufrieron la Ser y Everis a principios de mes, Sacyl la semana pasada y el Ayuntamiento de Jerez este último verano. «Lleva activo desde 2018 y es muy sofisticado. Se usa en ataques muy específicos. Una vez compromete un equipo intenta trasladarse de forma lateral al resto de dispositivos que comparten un dominio. Utiliza ingeniería social para engañar al usuario y que lo descargue», explica a ABC el hacker Deepak Daswani.

El experto añade que este ransomware es muy efectivo: «Así lo demuestra el que esté afectando a compañías tan importantes. Se ha convertido en la evolución de WannaCry». Y es que el funcionamiento de Ryuk recuerda mucho en su acción y objetivos al virus que puso en jaque a compañías como Telefónica hace poco más de dos años.

 

proseguro-k71D--1240x698@abc

Descubren un nuevo virus para Android que puede provocar una infección masiva

Un programa malicioso de tipo «ransomware» para Android envía SMS con enlaces maliciosos a los contactos de sus víctimas, como ha descubierto la compañía de ciberseguridad ESET. La compañía ha advertido, además, de que se trata de una campaña dirigida por aficionados y con errores en su código.

ESET explica en un comunicado que este virus, denominado Android/Filecoder.C, llega al usuario a través de un enlace malicioso en un mensaje de texto que, si se pincha sobre él, lleva al archivo de instalación del «ramsonware», lo que supone una forma «peculiar» de distribución de este tipo de «malware» (virus).

El responsable de ESET que ha liderado esta investigación, Lukas Stefanko, ha asegurado que la forma de propagación «debería provocar una infección masiva, sobre todo teniendo en cuenta que el mensaje se puede encontrar hasta en 42 idiomas diferentes». Sin embargo, y como matiza, ese mensaje «está muy mal traducido y la mayoría de los usuarios que lo reciben lo tratan como algo sospechoso».

Desde la compañía han señalado que el «ramsonware» «se ha encontrado camuflado en diferentes temas relacionados con la pornografía en la plataforma Reddit y, en menor medida, en el foro de desarrolladores XDA».

Stefanko ha detallado que esta campaña está dirigida por aficionados, lo que se comprueba «viendo las técnicas de cifrado utilizadas, ya que son muy pobres». De hecho, ha afirmado que «cualquier archivo infectado puede recuperarse sin mayor problema».

El investigador en ciberseguridad ha explicado que el «ransomware» contiene algunas anomalías en su cifrado como, por ejemplo, excluye archivos de más de 50MB e imágenes de menos de 150kb. Además, «su listado de tipos de archivo para cifrar contiene muchas entradas que no se corresponden con archivos de Android y, sin embargo, le faltan extensiones típicas de este sistema operativo».

Además, se incluyen otros elementos poco habituales en este tipo de «malware» que secuestra los equipos, como que no se bloquea la pantalla del usuario infectado y «que no se trate de un conjunto de valores preestablecidos, sino que el rescate que se demanda se genera de forma dinámica al utilizar la identificación del usuario». Esta cantidad suele oscilar entre los 0,01 y los 0,02 bitcoins.

Stefanko concluye que «parece ser que los delincuentes copiaron la lista del ‘ransomware’ Wannacry». A pesar de ello, ha remarcado la posibilidad de que sea «probable que el delincuente intente mejorar este «malware» resolviendo los fallos existentes y que busque una forma más avanzada de distribución, por lo que se podría convertir en una amenaza muy peligrosa».

Desde la empresa recomiendan actualizar los dispositivos de forma automática y descargar solamente aplicaciones desde la tienda Google Play o de distribuidores conocidos. Aconsejan, además, antes de instalar una aplicación, leer las puntuaciones y los comentarios de otros usuarios, observar los permisos que solicita la app y, sobre todo, utilizar una solución de seguridad específica para el móvil.

virus-knsB--1240x698@abc

La principal ciberamenaza es muy «vieja» pero siempre consigue que caigamos en el engaño.

Se llama «phishing» y si aún no sabes qué significa, tienes un serio problema por dos razones. La primera, porque es la principal ciberamenaza de 2019 a la que se enfrentan los usuarios de internet cada día. Y, la segunda, porque existe desde hace más de 20 años.

«Las ciberamenazas son como las modas: van por tendencias», aseguró Josep Albors, responsable de Investigación y Concienciación de ESET, durante la III Edición de los Premios de Periodismo de Seguridad Informática. Durante el evento, los expertos coincidieron en la necesidad de trasladar a la sociedad una buena concienciación sobre la vida digital, ya que en la Red no hay nada seguro.

El «phishing» es el robo de información personal y/o financiera del usuario a través de la falsificación de un ente (por ejemplo, un banco). De esta forma, el usuario cree ingresar los datos en un sitio de confianza cuando, en realidad, estos son enviados directamente al atacante.

Banco Santander ha sido una de las últimas entidades cuya imagen ha sido utilizada por los ciberdelincuentes para llevar a cabo un ataque de este tipo. La técnica es muy sencilla y vieja: un usuario recibe un email fraudulento de este supuesto banco con una excusa. No se fija en la url (que siempre es falsa) o en la extraña redacción del mensaje. El usuario hace clic en la url del email y es redirigido a una falsa página web del banco -algo que él desconoce-. Al ver un candado verde en la url, cree que está ante la auténtica página web del banco.

«Se trata del certificado que indica que la comunicación entre el usuario y la web se realiza de forma segura, no que la página web sea segura», recordó Albors.

La segunda ciberamenaza del 2019 es el « ransomware», es decir, la técnica con la que los ciberdelincuentes bloquean los dispositivos y exigen el pago de un rescate a cambio de desbloquear toda la información. «Este tipo de amenazas se ha ido especializando en empresas porque son las que pagan», explicó el experto.

Este ataque es tan eficiente que incluso los «hackers» lo ofrecen como servicio a otros ciberdelincuentes al mismo tiempo que los «smartphones» se han convertido en objetivos claves. Especialmente en terminales Android gracias a la facilidad con la que se pueden subir a la Play Store de Google aplicaciones fraudulentas.

Preocupante es también otra tendencia que está empezando en EE.UU. y podría convertirse en una amenaza a gran escala. Se trata del secuestro de edificios inteligentes, una práctica conocida como «siegeware». «Los ciberdelincuentes pueden hacerse con el control de un edificio entero (manejando a su antojo las luces, los ordenadores, los sistemas de emergencia, etc.) y exigir un pago a cambio de liberarlo», señaló Albors. Normalmente, este tipo de edificios se componen de empresas que los alquilan y «el ciberdelincuente sabe que el propietario le va a pagar millones de dólares a cambio. Esto es muy serio porque puede incluso poner en riesgo la salud de las personas», recordó.

Las criptomonedas, que en 2018 fueron la principal ciberamenaza, sigue siendo también este año un gran peligro en el mundo del todo conectado. Y es que los «hackers» persiguen infectar todo tipo de dispositivos IoT, tanto industriales como del propio consumidor, para hacerse de oro.

ciberamenazas-1-klWD--1240x698@abc

La ciudad que lleva «hackeada» un mes por un virus.

«La ciudad de Baltimore actualmente no puede enviar o recibir correos electrónicos. Si necesita asistencia, llame al departamento con el que desee contactar». Este es el mensaje que aparece en la página web oficial de la ciudad más poblada del estado de Maryland (EE.UU.). Baltimore lleva desde el pasado 7 de mayo bloqueada. Toda su Red está en mano de «hackers».

Puede parecer surrealista pero no lo es. La ciudad de Atlanta fue «hackeada» en 2018. Ahora, le ha tocado a Baltimore. Está en manos de los ciberdelincuentes que se han hecho con el control absoluto de la ciudad mediante un ataque «ransomware» conocido como RobbinHood. Aunque poco a poco la ciudad va recobrando la normalidad, la realidad es que, a día de hoy, sigue estando secuestrada. Y lo peor es el coste que le está acarreando solucionar esta brecha de ciberseguridad: de momento lleva gastados más de 18 millones de dólares (16 millones de euros), según recoge « Ars Technica».

La ciudad informó el 7 de mayo de sus primeros problemas con la Red. El email de los servicios del gobierno municipal estaba fuera de servicio. Las líneas telefónicas de atención al cliente tampoco funcionaban. Los 10.000 funcionarios de la ciudad no podían trabajar ni atender a los ciudadanos, a quienes les era imposible pagar sus facturas online. Lo que comenzó siendo un habitual fallo de Red se convirtió en un secuestro en toda regla. Solo los servicios esenciales, como la policía, bomberos o el de salud, no se han visto afectados.

La causa de todos estos problemas es una variedad relativamente nueva de «malware» llamado RobbinHood. Al igual que otros programas de «ransomware», este virus informático cifra los sistemas, bloqueándolos totalmente. Los ciberdelincuentes se hacen con el control de la Red e impiden que pueda usarse, exigiendo un rescate. Tras recibir el dinero, ofrecerían la clave del descifrado.

La técnica del chantaje

El chantaje es el proceder habitual de este tipo de ataques. Sin embargo, los expertos en seguridad informática aconsejan no pagar nunca ya que, aunque la víctima desembolse el dinero, normalmente sigue sin recuperar la información. De hecho, según un estudio realizado en 2016 por Kaspersky Lab, aproximadamente una de cada cinco víctimas de «ransomware» que pagan a sus atacantes, no pueden recuperar sus datos.

La nota de rescate exigía el pago de 3 Bitcoins (unos 22.000 dólares; 19.500 euros) para desbloquear cada ordenador, o 13 Bitcoins (99.000 dólares; 88.000 euros) para liberar la ciudad entera. Según la prensa del país, cuatro días después del ataque, el coste del rescate ascendía a 10.000 dólares al día (8.800 euros). Los «hackers» aseguraban que pasados los 10 días sería imposible recuperar los datos. Sin embargo, el alcalde, Bernard C. Jack Young, se ha mantenido firme en no pagar el rescate.

«Sé que muchos residentes han dicho que deberíamos haber pagado pero tanto el FBI como el Servicio Secreto nos aconsejaron que no», informa el alcalde, que añade que «esa no es la forma en que operamos. No recompensaremos el comportamiento criminal». De hecho, pagar no es garantía de nada. Los ciberdelincuentes pueden dejar «malware» distribuido o «puertas traseras» para volver al ataque en un futuro.

Tres semanas después del ataque inicial, Baltimore sigue sin poder mandar correos electrónicos ni procesar gran parte de los pagos. Desde este martes, sin embargo, los ciudadanos pueden ya pagar sus facturas de agua. La ciudad intenta, poco a poco, volver a la normalidad.

«Estamos en el proceso de restaurar el correo electrónico y el acceso a los ordenadores de los empleados de la ciudad». Aunque Bernard C. Jack Young no ha dado detalles de los pasos que la Oficina de Tecnología de la Información de la Ciudad de Baltimore (BCIT) está siguiendo, sí ha dicho que «se implementó con éxito un piloto y estamos implementando esa solución en toda la ciudad». La recuperación sigue en sus primeras etapas.

«Ars Technica» informa que la ciudad se ha gastado más de un millón de dólares en hardware nuevo comprado a la compañía Dell.«Y mediante un contrato de personal provisional, la ciudad ha comenzado a traer trabajadores temporales para ayudar en la limpieza de ‘malware’»

Herramientas creadas por gobiernos

Los responsables estiman que el coste del «hackeo» asciende a unos 10 millones de dólares (casi 9 millones de euros), sin tener en cuenta los otros 8 millones de dólares (7 millones de euros) que la ciudad ha perdido por su inactividad este tiempo.

El director de finanzas de la ciudad, Henry Raymond, ha calificado el estado actual de los sistemas de «no ideal, pero manejable»: se han restaurado algunos correos electrónicos y servicios telefónicos, y muchos sistemas se han mantenido. Pero los sistemas de procesamiento de pagos y otras herramientas utilizadas para manejar las transacciones de la ciudad aún están pendientes.

Una vez más, se evidencia la importancia de aplicar los parches de seguridad, que para EternalBlue existe desde abril de 2017. EternalBlue una herramienta diseñada por la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) en torno al 2012. Un software creado por el gobierno estadounidense para, en teoría, infiltrarse en los equipos con Windows y que cayó en manos ajenas; fue el embrión, de hecho, del ataque Wannacry que paralizó hace dos años medio planeta.

Cómo y quién ha realizado este ataque podría saberse tras meses de investigación. Pero, de momento, poco se sabe. Según « The New York Times», RobbinHood consiguió entrar en los sistemas gracias a EnternalBlue, la misma vulnerabilidad de la que se aprovechóWannaCry, el «ramsonware» que afectó a más 360.000 equipos de 180 países diferentes en el año 2017.

hacker-baltimore-kO0H--620x349@abc