Después de la falla que alcanzaron la cifra de $ 18 mil dólares provocaron el cierre de hospitales y pusieron en peligro vidas, los creadores del ransomware Samsam han decidido que la fuerza bruta es la mejor.

Volviendo a lo básico, se comienza con el escaneo de puertos abiertos en los servidores de los usuarios, y después, ataques de fuerza bruta mediante listas de contraseñas. Una vez que atraviesan, hay que dejar el ransomware Samsam -usará su famoso software de extorsión-en el sistema, para luego esperar el pago.

El problema llega cuando el ransomware alcanza los servidores del gobierno del condado de Bingham en Idaho, Estados Unidos, que con su ataque bien podrían haber cantado “bingo”.

En línea con su política de “vidas amenazantes”, los fabricantes de Samsam atoraron los sistemas de emergencia 911 del condado, cerrando la infraestructura necesaria para enviar ambulancias, policías y bomberos a la gente, literalmente, causando peligros mortales.

La llegada del Ransomware

El 15 de febrero, los empleados de Bingham, Idaho, comenzaron a trabajar … sólo para descubrir que estaban bloqueados en algunos sistemas. En concreto, los servidores que se ocupan de las llamadas de emergencia 911, el centro de despacho del condado, y la página web del condado.

Y así, llamaron a sus propios servicios de emergencia de TI a las 4 am. Al sacar los sistemas, no pasó mucho tiempo para encontrar que el ransomware había cifrado sus sistemas, haciendo que el acceso informático fuera imposible. Hasta que encontrar la nota de rescate.

En cada carpeta, había un vínculo que los dirigía a la nota. Un mensaje: todos los archivos han sido cifrados con RSA-2048.

La única manera de recuperar los datos es mediante una clave de descifrado privada. Y la clave no era barata: 28 bitcoins, o en el momento, aproximadamente $ 28,000.

Al principio, el personal se vio obligado a usar sus propios móviles y mapas físicos para dirigir a los oficiales a las emergencias. Las llamadas pasaban al sistema, pero no se registraban en el seguimiento de ordenador. La situación empeoró cuando un servidor de copias de seguridad se infectó con el virus, y toda la provincia se vio obligada a estar fuera de línea.

“Cada departamento en el condado se ve afectado de alguna manera,” el Comisionado del Condado de Bingham Whitney Manwaring dijo en el momento del incidente. “Los sistemas de teléfono, sistemas informáticos, todo. Algunos departamentos trabajaban con documentos a mano”.

“Teníamos todo tipo de cortafuegos para prevenir que este tipo de cosas sucedan”. Los piratas informáticos fueron originalmente capaces de conseguir un equipo individual de contraseñas de piratería, de acuerdo con uno de los contratistas de TI del Condado, Adam Michaelson.

“Escanearon un rango de direcciones IP, buscando por algún puerto abierto”, dijo Michaelson. “Una vez que encontraron un puerto abierto, utilizaron un programa de fuerza bruta para iniciar sesión.” Una vez dentro, los piratas informáticos entraron en un servidor individual, dedicado a las oficinas del asesor del condado, secretario y tesorero, y se pusieron a trabajar desplegar el ransomware.

¿Quiénes son los atacantes?

Los autores han identificado a los fabricantes de Samsam, un ransomware que se utilizó atacar a los hospitales con servidores JBoss sin parches. Se informó sobre sus ataques en junio del año 2016, cuando atacaron 10 hospitales de Estados Unidos para el rescate.

Afortunadamente, debido a la rapidez del personal de TI, fueron capaces de detectar y apagar la mayor parte de sus operaciones de red. Y debido a sus copias de seguridad sin comprometerse listas, fueron capaces de restaurar sus tres sistemas clínicos y proteger la vida de sus pacientes ingresados.

Por lo tanto, ¿Al final pagó el Condado?

Sí y no. Como era de esperar, los funcionarios del condado trataron de evitarlo. Tenían varios sistemas de copia de seguridad. Y funcionó, ya que fueron capaces de recuperar casi todos los datos desde sus copias de seguridad. Casi…

Tres servidores no eran recuperables, y al menos uno de sus servidores de copia de seguridad había sido infectados con ransomware. Y así, sin ninguna otra opción, pagaron $ 3.500 de la demanda de $ 28.000 para obtener las claves de descifrado para esos servidores.

Pero el daño ya estaba hecho. El coste de la reparación después de los hechos fue de casi $ 100 mil dólares. Y el equipo de TI estima que podría tomar hasta el año 2018 para que recuperaran sus servicios completamente a la normalidad.

Uno de los contratistas del Condado de Bingham dijo que “básicamente tuvieron que reconstruir completamente” sus servidores. “La eliminación de la encriptación llevará días en completarse debido a la enorme cantidad de información afectada”, dijeron.

Las organizaciones gubernamentales son cada vez más blanco de los ataques ransomware. Aproximadamente el 10 por ciento de todos los ataques ransomware están dirigidos a organizaciones del sector público, de acuerdo con un estudio citado por Govtech.com.

Al final, el condado tiene el seguro cibernético a través de la compañía aseguradora del condado por la Gestión de Riesgos del condado de Idaho, que al parecer ha mitigado la mayor parte del costo del rescate. Sin embargo, la empresa requiere un deducible de $1,000 para una situación de este tipo.

Miles de transmisiones de radio, cientos de llamadas e informes de la policía tenían que estar conectados manualmente de nuevo en el sistema una vez hasta que el sistema funcionara de nuevo.

¿Por qué no funcionaron sus copias de seguridad?

Es cierto que las copias de seguridad son la primera y más eficaz defensa contra el ransomware. Sin embargo, hay una serie de razones de restauración que pueden fallar.

Copias de seguridad no monitorizadas y perdidas: El valor de ejecutar una prueba de restauración de puede ser exagerada, pero en casos como este, es fácil demostrar que puede alcanzar hasta los $100.000 dólares. Tal y como lo hace una copia de seguridad, tratar de restaurar algunos datos es parte de la prueba. Recuerde la regla de copia de seguridad de Shrodinger – “La situación de cualquier copia de seguridad no se conoce hasta que se intenta una restauración.”

El medio local, pruebas remotas: Esta es una razón por la que sugerimos probar de manera remota el acceso al menos a una de las copias de seguridad. Si usted puede acceder de forma remota a las copias de seguridad, significa que el ransomware también puede.

Las copias de seguridad fuera de tiempo:  Si no ejecuta copias de seguridad periódicas, eso significa que puede perder todos los datos entre su última copia de seguridad y cuando ocurrió el desastre. Para solucionar este riesgo, es importante trabajar fuera de su objetivo de punto de recuperación (RPO). Su RPO es el tiempo: ya sean minutos u horas de datos que puede permitirse para perder datos antes de que realmente impacte su negocio. Asegúrese de que su horario de reserva alcanza su RPO, para que nunca esté en riesgo de perder más de esa cantidad de datos.

Las lecciones a aprender

Hay una gran cantidad de lecciones en estos sucesos, que mantendrán a sus propios servidores seguros:

  1. Encontrar los puertos abiertos y servicios en la red y cerrarlos.
  2. No dar a los usuarios cuentas de administrador.
  3. Emplear tiempo de defensa de malware para frenar los ataques a medida que ocurren.
  4. Genere copias de seguridad de sus datos usando unesquema de reserva 3-2-1 y rotación de medios. Hay servicios que pueden ayudar con esto.
  5. Asegúrese de que uno de sus medios de backuptiene air gapping.
  6. Realizar restauraciones de prueba.¡Recuerde las copias de seguridad de Schrodinger!
  7. No haga que sus contraseñas sean fáciles de adivinar.
  8. Asegúrese de que el personal de TI y los usuarios están debidamente capacitadospara hacer frente a los acontecimientos ransomware y phishing.

¿En busca de copias de seguridad y recuperación de desastres de software?

BackupAssist es la copia de seguridad, y recuperación de desastres de software # 1 para Windows Servers. Puede obtener más información aquí, o mejor aún, descargar la versión de prueba de 30 días y comprobarlo por ti mismo.

DESCARGAR AHORA V10.0

Te invitamos a qué eches un vistazo a BackupAssist, para el software #1 para sus estrategias de seguridad. Si quieres conocer más sobre BackupAssist, o si tienes dudas sobre la importancia del archivado y los respaldos ponte en contacto con nuestro equipo de soporte al +34 93 184 53 53 o mediante un email a soporte@interbel.es

DESCARGA UNA PRUEBA GRATUITA DE 30 DÍAS

descarga-gratis-BA

Recent Posts