Hace apenas unos días, el Hospital Moisès Broggi de Sant Joan Despí (Barcelona) ha sufrido un ciberataque de ransomware. Como consecuencia del mismo, parte de sus servidores se vieron inutilizados. Por fortuna, el sistema principal del hospital no se vio afectado, aunque sí provocó complicaciones en otros aspectos, como el correo electrónico corporativo. Pese a estas molestias, se asegura que no ha habido pérdida de datos personales de ningún tipo.
¿Quién es el culpable de este ataque?
El hospital fue víctima de un ataque provocado por el crimen organizado, dijeron desde la Agencia de Ciberseguridad Catalana. Recomiendan, como siempre lo hacen en estos casos, no pagar ningún tipo de rescate, ya que los datos confidenciales no se encontrarían comprometidos.
El ataque se realizó utilizando un tipo de ransomware de rescate. Como ya hemos visto en otras publicaciones, este tipo de ataques se realiza «secuestrando» el ordenador afectado para que la víctima no pueda acceder al mismo, a menos que pague para que el delincuente le entregue una contraseña. A su vez, los pagos se solicitan en criptomonedas de algún tipo, para que sean difíciles (o imposibles) de rastrear y poder huir con la certeza de no ser capturados. Como vemos, los delincuentes tienen un sistema bien organizado.
El director de la ACC, Oriol Torruella , explica que probablemente este ataque no haya sido al azar. En medio de la pandemia, un hospital de la importancia del Broggi se identifica como una víctima calificada. Esto significa que puede llegar a estar dispuesto a pagar la suma que se le pida, para evitar otro inconveniente (considerando que ya se está luchando para evitar el colapso).
Si bien en este momento no se sabe aún cómo se ha producido el ingreso del ransomware, se sabe que la IP desde la que se realizó el ataque se encuentra en Rusia. No hay que olvidar, sin embargo, que es muy fácil falsear la localización de nuestra IP utilizando un VPN.
Ciberataque de ransomware: ¿con qué frecuencia ocurre uno?
En los últimos tiempos, los ataques de ransomware son cada vez más frecuentes. Las pérdidas económicas que se pueden producir por este tipo de ataques, son cada vez mayores también. A finales de junio del 2017 sucedió una serie de ataques que ha sido catalogado como el que provocó más perdidas en la historia (hasta el momento). A manos del virus NotPetya, se produjeron pérdidas por más de 2.000 millones de Euros. ¡Realmente es una cifra enorme!
Un mes antes, en mayo de 2017, el virus WannaCry golpeó cientos de miles de ordenadores de todo el mundo. Se vieron afectadas empresas como Telefónica , Iberdrola o Gas Natural.
Análisis de un ataque de ransomware
Hace unos días, Argentina sufrió también un ataque de ransomware. El 27 de agosto, la Dirección Nacional de Migraciones se aisló del resto del mundo por tres horas completas, cuando nadie pudo entrar ni salir del país gracias a que el sistema se desconectó. Mañana vence el plazo dado por los delincuentes para liberar los archivos, previo pago de 3,5 millones de dólares. Según ha trascendido, se trata de un ataque provocado con el ransomware NetWalker. A continuación, veamos ciertas características de este ataque.
¡Manos a la obra!
Luego de realizada la infección, se publica en la deep web una cuenta regresiva para la liberación de la información. Cada infección genera un link individual de pago con una fecha límite. De no abonarse en el plazo previsto, usualmente hay un aumento en la cifra exigida.
Una vez que la información ha sido tomada, se informa del daño en dos etapas que se va a realizar.
¿Qué significa esto? Como vemos en la imagen siguiente, se refiere a lo siguiente:
- Fase 1: en esta etapa, el daño se refiere al daño reputacional que recibirá nuestra empresa. Al hacerse público el ataque que hemos sufrido (y nuestra imposibilidad de defendernos ante él), nuestra reputación quedará dañada irremediablemente.
- Fase 2: ésta es, sin lugar a dudas, la fase que queremos evitar a toda cosa. En este punto, la publicación de la información robada nos produciría pérdidas económicas no sólo a nosotros, sino también a nuestros clientes.
Curiosidades
Como cualquier organización, los ciberdelincuentes que utilizan este ransomware tienen una serie de reglas, a saber:
–Los trabajos en contra de Rusia y los targets CIS [Centro de Seguridad de Internet] están prohibidos.
–Siempre devolvemos los archivos para los clientes [víctimas] que pagaron la desencriptación.
–La comunicación con el cliente es vía chat, también podemos ver sus correspondencias y podemos asistir en la comunicación.
También transparentan bien las tarifas que les pagan a sus reclutas:
–Desde USD 300.000 en siete días, para la semana siguiente el % de todos los pagos será de 16%.
–Por debajo de USD 300.000 en siete días, el % será del 20%.
¿Qué podemos hacer para evitar este tipo de ataques?
Te invitamos a repasar nuestra Guía Definitiva contra el Ransomware. Además, puedes también probar BackUp Assist de forma totalmente gratuita por treinta días.
¿Qué esperas?
Prueba BackupAssist gratis y completamente funcional por 30 días, y obtén 15 días de asistencia preventa.
Por qué descargar BackupAssist:
- Backup y restauración granular para Windows.
- Gestión de múltiples medios de almacenamiento, incluso en la nube.
- Administración y monitorización centralizada y remota.
