Los ataques de ransomware son un gran negocio. Se calcula que, para finales de 2021, el ransomware afectará a una empresa cada once segundos, y que el daño económico de los ataques podría llegar a los 20 000 millones de dólares. Los ataques de ransomware no son solo un riesgo para las organizaciones (empresas, gobiernos, centros médicos, etc.) que sufren la vulneración: también son un riesgo para sus clientes y empleados, ya que los daños colaterales de dichos ataques son sus datos.
En un ataque de ransomware, un agresor utiliza un programa de malware para cifrar los archivos de su víctima. Los ataques de ransomware no deben confundirse con las campañas de extorsión; en estas últimas, se realiza un ataque distribuido de denegación de servicio (DDoS) contra una víctima con el fin de saturarla con tráfico que no pueda procesar y exigirle el pago de una suma a cambio de poner fin a la agresión.
Si bien algunas organizaciones optan por pagar los rescates exigidos por el ransomware, generalmente no es lo recomendable: por un lado, no hay garantía de que el atacante vaya a devolverle a la víctima el acceso a los sistemas infectados; y, por el otro, pagar es un modo de incentivar este tipo de ataques. Muchas empresas no revelan los ataques de ransomware y, si lo hacen, no desvelan las exigencias del atacante.
En este artículo, veremos algunos de los ataques de ransomware recientes que ocurrieron entre enero y diciembre de 2020.
Los piratas informáticos comenzaron el año con un ataque a Travelex, una empresa de cambios de divisas que, a raíz del incidente, se vio obligada a apagar todos sus sistemas informáticos y regresar al lapiz y el papel. Como resultado, la empresa tuvo que desactivar sus sitios web en treinta países.
Los responsables del ataque —un grupo conocido como Sodinokibi o REvil— exigieron a Travelex el pago de 6 millones de dólares. Los atacantes afirmaban tener acceso a la red de Travelex desde hacía 6 meses y aseguraban que tenían en su poder unos 5 GB de información confidencial sobre los clientes de la empresa, como sus fechas de nacimiento y los números de sus tarjetas de crédito. El grupo se comprometía a eliminar esta información si Travelex pagaba el rescate; de lo contrario, duplicarían el importe exigido cada dos días. Tras siete días, dijeron que venderían la información a otros ciberdelincuentes.
Aparentemente, Travelex pagó 2,3 millones de dólares en bitcoins al grupo y logró reactivar sus sistemas tras dos semanas de inactividad. En agosto de 2020, la empresa se declaró en bancarrota; hizo responsable de la situación al efecto conjunto del ataque de ransomware y del impacto de la pandemia de COVID-19.
En el Día de San Valentín, el grupo INA —la petrolera más importante de Croacia, que gestiona la mayor cadena de estaciones de servicio del país— sufrió un ciberataque que inhabilitó parte de sus operaciones comerciales. El ataque consistió en una infección de ransomware que cifró el contenido de algunos de los servidores back-end de la empresa.
Si bien el ataque no afectó a la capacidad de la empresa para suministrar gasolina a los clientes, sí alteró su capacidad para emitir facturas, registrar el uso de las tarjetas de fidelización, emitir nuevos vales móviles y permitir ciertos pagos de los clientes.
Según se dijo, el ransomware utilizado en el ataque pertenecía a la familia Clop. Los expertos en seguridad dicen que Clop es un «ransomware de las grandes ligas», porque el grupo que lo controla se enfoca en atacar a empresas, infectar sus redes, cifrar sus datos y exigir rescates exorbitantes.
En marzo, se supo que Communications & Power Industries (CPI), uno de los principales fabricantes de productos electrónicos, había sido víctima de un ataque de ransomware.
La empresa, con sede en California, fabrica componentes para dispositivos y equipos militares; y uno de sus clientes es el Departamento de Defensa de Estados Unidos. El ataque de ransomware comenzó cuando uno de los administradores del dominio de la empresa hizo clic en un enlace malicioso y activó un malware de cifrado de archivos. Debido a que CPI tenía miles de ordenadores asociados a un mismo dominio en la red, el ransomware pudo propagarse rápidamente por todas las oficinas y logró infectar incluso las copias de seguridad locales de la empresa.
Finalmente, la empresa pagó una suma de 500 000 dólares como respuesta al ataque. Se desconoce cuál fue la clase de ransomware utilizada.
En abril, se informó de que el gigante de la electricidad Energias de Portugal (EDP) había sido víctima de un ataque. Utilizando el ransomware Ragnar Locker, un grupo de ciberdelincuentes consiguió cifrar los archivos de la empresa, a la cual exigió el pago de casi 10 millones de dólares.
Los atacantes afirmaban haber robado más de 10 TB de datos confidenciales, y amenazaban con filtrarlos a menos que la empresa pagara el rescate. Para demostrar que contaban con esta información, los piratas informáticos publicaron capturas de algunos archivos en un sitio dedicado a filtraciones de datos. La información incluía, supuestamente, detalles privados sobre la facturación, los contratos, los clientes y los socios de la empresa.
EDP confirmó que se había producido un ataque, pero afirmó que no había pruebas de que se hubiera filtrado información confidencial sobre sus clientes. Sin embargo, atendiendo a la posibilidad de que se comprobara una filtración de datos en el futuro, la empresa ofreció a sus clientes un año del servicio de protección de la identidad de Experian sin coste alguno.
En mayo, el bufete neoyorquino Grubman Shire Meiselas & Sacks —empresa que atiende a una gran cantidad de famosos como Madonna, Elton John o Robert De Niro— fue víctima del ransomware REvil.
Los atacantes, en este caso, dijeron haber utilizado el ransomware REvil/Sodinokobi para robar datos personales como números de teléfono, direcciones de correo electrónico, comunicaciones privadas, acuerdos de confidencialidad, los contratos firmados con los clientes, etc. Los atacantes aseguraron que divulgarían la información en nueve entregas sucesivas a menos que la firma pagara un total de 21 millones de dólares como rescate. Cuando el bufete se negó a pagar esta suma, los atacantes doblaron sus exigencias y exigieron 42 millones de dólares.
Según parece, entre los famosos afectados por el ataque estaban Bruce Springsteen, Lady Gaga, Nicki Minaj, Mariah Carey y Mary J. Blige. El bufete de abogados se negó a negociar con los atacantes y solicitó ayuda al FBI.
En junio, el gigante automotriz Honda sufrió un ataque con el ransomware Snake (también conocido como Ekans), dirigido a sus oficinas de Estados Unidos, Europa y Japón. Tras detectar el ataque, Honda detuvo sus líneas de producción en algunas regiones para lidiar con la infección de su red informática. Los piratas informáticos utilizaron el ransomware para acceder a uno de los servidores internos de Honda y cifrar la información que contenía. Tras la infección, exigieron un rescate a cambio de la clave de descifrado. Tras el incidente, Honda indicó que los atacantes no habían demostrado la pérdida de información personal en modo alguno.
Orange, una empresa francesa de telecomunicaciones que hoy es el cuarto operador móvil más grande de Europa, sufrió en julio un ataque con el ransomware Nefilim. El incidente afectó a la división de servicios para empresas de Orange. El 15 de julio, la vulneración de datos se añadió al sitio de la web oscura de Nefilim. El grupo Nefilim subió un archivo de 339 MB con muestras de datos pertenecientes —según aseguraban— a los clientes de Orange.
Nefilim es un operador de ransomware relativamente nuevo, pues se vio por primera vez en 2020. Según Orange, la información expuesta corresponde a unos veinte clientes corporativos de la división de servicios para empresas.
En agosto, se supo que la Universidad de Utah había pagado un rescate de 457 000 dólares a un grupo de ciberdelincuentes para evitar la publicación de archivos confidenciales sustraídos durante un ataque de ransomware. El ataque cifró el contenido de algunos servidores pertenecientes a la Facultad de Ciencias Sociales y Ciencias del Comportamiento de la Universidad. Como parte del ataque, antes de cifrar los datos, los delincuentes habían copiado los archivos en su formato original.
Como los datos robados contenían información sobre alumnos y empleados, la universidad decidió pagar el rescate para evitar su filtración. También se recomendó a todos los alumnos y empleados de la Facultad afectada que cambiaran las contraseñas de sus servicios online y que estuvieran alerta a movimientos sospechosos en sus informes de crédito.
En septiembre, se informó que K-Electric (único proveedor eléctrico de Karachi, Pakistán) había sido víctima de un ataque con el ransomware Netwalker. En el incidente, los servicios de facturación y los servicios en línea de la compañía eléctrica quedaron inhabilitados.
Los operadores del ransomware le exigieron a K-Electric el pago de 3,85 millones de dólares y avisaron que, de no recibir el dinero en siete días, la suma aumentaría a 7,7 millones. Netwalker publicó un archivo comprimido de 8,5 GB que contenía una recopilación de datos financieros, detalles de clientes y otros archivos supuestamente robados durante el ataque.
Netwalker ya había atacado previamente las oficinas de inmigración de Argentina, varios organismos gubernamentales de Estados Unidos y la Universidad de California en San Francisco (la cual pagó más de 1 millón de dólares como rescate).
Aunque K-Electric reconoció haber sufrido un problema de seguridad informática, aseguró que todos los servicios esenciales para sus clientes seguían en funcionamiento.
En octubre, la agencia de noticias Press Trust of India (PTI) sufrió una intrusión en sus servidores que detuvo sus servicios durante horas. Un portavoz de la empresa describió el incidente como un ataque masivo de ransomware, que afectó a sus operaciones y detuvo su capacidad para hacer llegar las noticias a los suscriptores que tiene en toda la India.
Se determinó que el ransomware utilizado fue LockBit, un software malicioso diseñado para bloquear el acceso de los usuarios a los sistemas informáticos y pedir el pago de un rescate para devolver el control.
En noviembre, el Tribunal Superior de Justicia de Brasil sufrió un ataque masivo de ransomware que afectó su infraestructura de TI y dejó fuera de servicio su sitio web.
Los atacantes aseguraron que habían cifrado toda la base de datos del Tribunal y que todo intento de descifrarla sería en vano. En una nota de rescate, los atacantes le brindaban al Tribunal una dirección de correo electrónico de ProtonMail para que se pusiera en contacto con ellos. Los piratas informáticos también intentaron atacar otros sitios web relacionados con el gobierno brasileño.
En diciembre, GenRx Pharmacy, una organización del cuidado de la salud con sede en Arizona, se vio obligada a advertirles a cientos de miles de pacientes sobre una posible filtración de datos tras un ataque de ransomware ocurrido meses atrás. Según indicó la empresa, los responsables del ataque lograron hacerse con un número de archivos que contenían, entre otros datos, información empleada para procesar las recetas de los pacientes y enviarles los productos correspondientes.
En los últimos tiempos, los ataques de ransomware se han vuelto más selectivos a la hora de elegir quiénes son las víctimas y a cuánto ascienden los rescates. Kaspersky Anti-Ransomware Tool ofrece protección contra el ransomware, tanto para el hogar como para la empresa. Como con cualquier amenaza informática, la clave para mantenerse a salvo es estar vigilantes.
Artículos relacionados: