{"id":9620,"date":"2016-12-01T16:14:52","date_gmt":"2016-12-01T16:14:52","guid":{"rendered":"https:\/\/kasperskydaily.com\/spain\/?p=9620"},"modified":"2020-06-30T16:22:51","modified_gmt":"2020-06-30T14:22:51","slug":"mamba-hddcryptor-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/mamba-hddcryptor-ransomware\/9620\/","title":{"rendered":"El ransomware Mamba permite acceder gratis a los ferrocarriles de San Francisco"},"content":{"rendered":"

El fin de semana pasado, 26 y 27 de noviembre, los viajeros que iban en el ferrocarril municipal de San Francisco se sorprendieron al no tener que pagar<\/a> por sus viajes. Todos viajaron gratis esos d\u00edas. \u00bfEl sue\u00f1o hecho realidad de un socialista? No. Muni, la agencia de transporte ferroviario de San Francisco, fue atacada con un ransomware<\/i> y no pudo vender billetes.<\/p>\n

https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2016\/11\/30162248\/muni-ransomware-featured.jpg<\/p>\n

Algunos medios de comunicaci\u00f3n informan<\/a> de que el problema se manifest\u00f3 unos d\u00edas antes, justo antes de Acci\u00f3n de Gracias, cuando las m\u00e1quinas billetes de la estaci\u00f3n y los paneles informativos empezaron a mostrar el mensaje \u201cYou Hacked\u201d (en espa\u00f1ol, \u201chas hackeado<\/i>\u201c) y, como de costumbre, el mensaje conten\u00eda errores gramaticales. Al parecer, el ransomware<\/i>, llamado Mamba, el cual es una variante de HDDCryptor<\/a>, dej\u00f3 fuera de servicio a m\u00e1s de 2 000 ordenadores de la agencia de transporte municipal de San Francisco (SFMTA).<\/p>\n

Mamba (y HDD Locker; consider\u00e9moslos uno durante todo el art\u00edculo) es un ransomware<\/i> que cifra todo el disco duro y cambia el registro de arranque principal para impedir que los ordenadores infectados inicien el sistema operativo y, en su lugar, muestren el mensaje del hacker<\/i>.<\/p>\n

Los creadores de Mamba usaron utilidades de c\u00f3digo abierto para crear el troyano y ello, entre otras cosas, les ayud\u00f3 a obtener un fuerte algoritmo. Por lo que no hay manera conocida de recuperar los archivos que Mamba ha cifrado sin tener que pagar a los delincuentes.<\/b><\/p>\n

Los creadores de Mamba instaron a la SFMTA a que contactara con ellos en cryptom27@yandex.com<\/i>. Mediante dicha direcci\u00f3n, un periodista del San Francisco Examiner<\/a>\u00a0pudo hablar con los delincuentes, los cuales se presentaron como \u201cAndy Saolis\u201d. Como en la historia de Saolis, el ataque a Muni no fue dirigido; el sistema se infect\u00f3 simplemente porque alguien con privilegios de administrador descarg\u00f3 un fichero torrent infectado.<\/p>\n

Saolis tambi\u00e9n dijo a Examiner<\/i> que la SFMTA ten\u00eda que pagarles 100 bitcoins<\/i> (unos 69 000 euros) para devolver la funcionalidad a sus ordenadores. Pero al parecer, la SFMTA pudo resolver el problema sin tener que pagar el rescate; el domingo tarde, las m\u00e1quinas de billetes volv\u00edan a funcionar.<\/p>\n

Los investigadores antimalware<\/i> de Kaspersky Lab siguen de cerca al agente responsable de este ataque. Al parecer, Mamba se suele usar para atacar a empresas y organizaciones: el ataque a Muni no ha sido el primer golpe de Mamba y, de hecho, 100 bitcoins<\/i> es una suma peque\u00f1a para lo que suelen pedir estos delincuentes. Normalmente exigen mucho m\u00e1s.<\/p>\n\n

Mamba parece ser una amenaza muy fastidiosa. \u00bfQu\u00e9 puedes hacer para protegerte a ti y a tu organizaci\u00f3n de \u00e9l?<\/p>\n

1. La SFMTA pudo volver a restablecer Muni relativamente r\u00e1pido porque ten\u00eda copias de seguridad. Hay que destacar que dichas copias no estaban en redes compartidas; de lo contrario, Mamba tambi\u00e9n las habr\u00eda cifrado.<\/p>\n

\u00bfQu\u00e9 aprendemos de esto? Que hay que hacer como la SFMTA y realizar copias de seguridad con regularidad y mantenerlas en la nube o en discos duros externos, no en el ordenador ni en dispositivos conectados a la red.<\/p>\n

2. S\u00e9 m\u00e1s listo que la SFMTA y evita infectarte con Mamba o con cualquier otro ransomware<\/i>. Para ello, utiliza una buena soluci\u00f3n de seguridad. Kaspersky Internet Security<\/a> detecta Mamba (y a HDDCryptor y otros como ellos) con el nombre de HEUR:Trojan.Win32.Generic e impide que cifren nada.<\/p>\n","protected":false},"excerpt":{"rendered":"

Un ransomware infecta 2 000 ordenadores de la SFMTA y hace que los viajes de Muni sean gratuitos durante un fin de semana.<\/p>\n","protected":false},"author":696,"featured_media":9621,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348,6],"tags":[378,2108,2107,401,2109],"class_list":{"0":"post-9620","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-amenazas","10":"tag-hddcryptor","11":"tag-mamba","12":"tag-ransomware","13":"tag-san-francisco"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/mamba-hddcryptor-ransomware\/9620\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/mamba-hddcryptor-ransomware\/10519\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/mamba-hddcryptor-ransomware\/8034\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/mamba-hddcryptor-ransomware\/8050\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/mamba-hddcryptor-ransomware\/9424\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/mamba-hddcryptor-ransomware\/13663\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/mamba-hddcryptor-ransomware\/2691\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/mamba-hddcryptor-ransomware\/13539\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/mamba-hddcryptor-ransomware\/6375\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/mamba-hddcryptor-ransomware\/6770\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/mamba-hddcryptor-ransomware\/5778\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/mamba-hddcryptor-ransomware\/9302\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/mamba-hddcryptor-ransomware\/13344\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/mamba-hddcryptor-ransomware\/13663\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/mamba-hddcryptor-ransomware\/13539\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/mamba-hddcryptor-ransomware\/13539\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/9620","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/696"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=9620"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/9620\/revisions"}],"predecessor-version":[{"id":23235,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/9620\/revisions\/23235"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/9621"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=9620"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=9620"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=9620"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}