El ransomware, que exige el pago de un “rescate”para desencriptar archivos, se propago a escala global, principalmente contra grandes empresas. Rusia es el país más afectado.

El ciberataque masivo lanzado ayer afectó a 99 países con 75.000 detecciones, según la empresa checa de antivirus Avast, y golpeó a grandes empresas automotrices como Renault y Nissan.

“Estamos viendo ya 75.000 detecciones del WanaCrypt0r 2.0 en 99 países”, explicó en el blog de Avast el informático Jakub Kroustek sobre el alcance global del ransomware: un tipo de código malicioso que, una vez que infecta el dispositivo contra el que se dirige, encripta la información -archivos, textos, fotos- y pide el pago de un “rescate” a la víctima para desencriptarla, generalmente a través de bitcoins.

Según el experto, el ataque de los piratas informáticos está dirigido “sobre todo a Rusia, Ucrania y Taiwán”, y “ha infectado con éxito a grandes instituciones como hospitales a lo largo de Inglaterra y a la empresa de telecomunicaciones española Telefónica”, según cito la agencia EFE.

De acuerdo a la firma de seguridad Kaspersky, Rusia había sido el país más afectado por el ciberataque: los bancos sufrieron un ataque masivo, mientras que los sistemas informáticos de la compañía estatal de Ferrocarriles (RZhD) de este país también están afectados, informaron esas instituciones.

El organismo policial europeo Europol anunció este sábado que apoyará la investigación internacional contra el ciberataque masivo al que calificó de “sin precedentes”. “El reciente ataque tiene un nivel sin precedentes y requerirá una investigación internacional compleja para identificar a los culpables”, indicó la fuerza en un comunicado en el que anunció que participará en la investigación a través del Centro Europeo del Cibercrimen (EC3).

El malware afectó entre otros al grupo de telecomunicaciones español Teléfonica, a varios hospitales británicos, al servicios de correos FedEx y hasta las empresas del sector automotríz Nissan y Renault.

Esta última firma detuvo el trabajo en una fábrica del norte de Francia por miedo a la propagación del malware, según explicó el delegado del sindicato Fuerza Obrera (FO) en Sandouville, Fabien Gloaguen, en declaraciones al canal “BFMTV”. En esa localidad, donde hay una plantilla de 3.600 trabajadores, se ensamblan furgonetas, esencialmente Renault Trafic, pero también de otras marcas que utilizan la misma plataforma, como la Opel Vivaro o la Fiat Talento.

Que es un rasomware

“El ransomware es diferente a un virus tradicional –explica Pablo Verdina, gerente de IT de NextVision, una empresa dedicada a la consultoría en seguridad informática—porque no destruye o corrompe información sino que busca archivos valiosos para pedir un rescate. El ransomware busca  identificar información en formato de base de datos o archivos, dejando de lado los de sistema operativo que son los que, en general, te rompen la computadora.”

Es, de hecho, una tendencia cada vez más común especialmente en las grandes empresas que tienen muchos empleados y que no llegan a reparar vulnerabilidades en los sistemas de manera ordenada. Lo que pasó con Telefónica hoy es solo un ejemplo. “Estamos hablando de una multinacional que tiene operaciones en todo el mundo; distribuir actualizaciones rápidamente es difícil por los anchos de banda que difieren y también porque los puestos de trabajo no están siempre prendidos. Es un ciclo de despliegue que puede tardar 30 días en completarse en todas las máquinas. Y ahí el ransomware detecta vulnerabilidades y las explota,” explica Verdina. Especialmente los tipos de amenaza de vida cero, como nuevos malware, que todavía no tienen una “vacuna” conocida en el mercado.

“El ransomware infecta a las victimas explotando una vulnerabilidad de Microsoft descrita y corregida en el Boletín de Seguridad MS 17-010. El exploit utilizado, Eternal Blue, fue revelado por Showbrokers el 14 de abril. Una vez dentro del sistema, los atacantes instalan un rootkit que les permite descargar el software para cifrar los datos. El malware cifra los archivos. Una solicitud de US$ 600 en bitcoin se muestra junto a una billetera y la demanda del rescate aumenta en el tiempo,” explicaron expertos en ciberseguridad de la empresa de antivirus Kaspersky. El parche de Microsoft había sido publicado hace menos de 45 días lo que explica, en parte, el problema de las grandes empresas.

¿Conviene pagar, entonces? Para Verdina la respuesta no es tan sencilla. “Para las empresas comunes no es una opción, aunque tal vez sí para un usuario final. No hay garantías. El porcentaje de empresas que ha pagado y han recibido una clave de desbloqueo no llega al 13 porciento.”

Lo cierto es que el impacto económico es enorme. Desde hoy a la mañana los call center de Telefónica en todo el mundo están inoperantes y en diferentes países empresas que manejan información crítica han cerrado sus sistemas en temor a posibles infecciones. “En los próximos dos meses empresas de todo el mundo que se especializan en seguridad informática van a tener que estudiar el alcance de este ataque, uno de los más grandes de la historia. Fue millonario.”

About The Author

insight

See author's posts