Los principales ataques de ransomware
Los ataques de ransomware son un gran negocio. Se calcula que, para finales de 2021, el ransomware afectará a una empresa cada once segundos, y que el daño económico de los ataques podría llegar a los 20 000 millones de dólares. Los ataques de ransomware no son solo un riesgo para las organizaciones (empresas, gobiernos, centros médicos, etc.) que sufren la vulneración: también son un riesgo para sus clientes y empleados, ya que los daños colaterales de dichos ataques son sus datos.
En un ataque de ransomware, un agresor utiliza un programa de malware para cifrar los archivos de su víctima. Los ataques de ransomware no deben confundirse con las campañas de extorsión; en estas últimas, se realiza un ataque distribuido de denegación de servicio (DDoS) contra una víctima con el fin de saturarla con tráfico que no pueda procesar y exigirle el pago de una suma a cambio de poner fin a la agresión.
Si bien algunas organizaciones optan por pagar los rescates exigidos por el ransomware, generalmente no es lo recomendable: por un lado, no hay garantía de que el atacante vaya a devolverle a la víctima el acceso a los sistemas infectados; y, por el otro, pagar es un modo de incentivar este tipo de ataques. Muchas empresas no revelan los ataques de ransomware y, si lo hacen, no desvelan las exigencias del atacante.
En este artículo, veremos algunos de los ataques de ransomware recientes que ocurrieron entre enero y diciembre de 2020.
Ataques de ransomware en enero de 2020
1. Ataque de ransomware a Travelex
Los piratas informáticos comenzaron el año con un ataque a Travelex, una empresa de cambios de divisas que, a raíz del incidente, se vio obligada a apagar todos sus sistemas informáticos y regresar al lapiz y el papel. Como resultado, la empresa tuvo que desactivar sus sitios web en treinta países.
Los responsables del ataque —un grupo conocido como Sodinokibi o REvil— exigieron a Travelex el pago de 6 millones de dólares. Los atacantes afirmaban tener acceso a la red de Travelex desde hacía 6 meses y aseguraban que tenían en su poder unos 5 GB de información confidencial sobre los clientes de la empresa, como sus fechas de nacimiento y los números de sus tarjetas de crédito. El grupo se comprometía a eliminar esta información si Travelex pagaba el rescate; de lo contrario, duplicarían el importe exigido cada dos días. Tras siete días, dijeron que venderían la información a otros ciberdelincuentes.
Aparentemente, Travelex pagó 2,3 millones de dólares en bitcoins al grupo y logró reactivar sus sistemas tras dos semanas de inactividad. En agosto de 2020, la empresa se declaró en bancarrota; hizo responsable de la situación al efecto conjunto del ataque de ransomware y del impacto de la pandemia de COVID-19.
Durante este mes, se registraron otros ataques que también cabe destacar:
- En Pensilvania, los estudiantes del distrito escolar unificado de Pittsburg se quedaron sin acceso a Internet después de que un ataque de ransomware ocurrido durante las vacaciones inhabilitara los sistemas informáticos del distrito.
- En Miramar (Florida), un ciberdelincuente exigió a los pacientes de un centro médico a que le pagaran un rescate tras amenazarlos con revelar sus historiales médicos confidenciales.
Ataques de ransomware en febrero de 2020
2. Ataque de ransomware al grupo INA
En el Día de San Valentín, el grupo INA —la petrolera más importante de Croacia, que gestiona la mayor cadena de estaciones de servicio del país— sufrió un ciberataque que inhabilitó parte de sus operaciones comerciales. El ataque consistió en una infección de ransomware que cifró el contenido de algunos de los servidores back-end de la empresa.
Si bien el ataque no afectó a la capacidad de la empresa para suministrar gasolina a los clientes, sí alteró su capacidad para emitir facturas, registrar el uso de las tarjetas de fidelización, emitir nuevos vales móviles y permitir ciertos pagos de los clientes.
Según se dijo, el ransomware utilizado en el ataque pertenecía a la familia Clop. Los expertos en seguridad dicen que Clop es un «ransomware de las grandes ligas», porque el grupo que lo controla se enfoca en atacar a empresas, infectar sus redes, cifrar sus datos y exigir rescates exorbitantes.
Durante este mes, se registraron otros ataques que también cabe destacar:
- Se registró un ataque contra NRC Health, una empresa del sector de la salud que trabaja con el 75 % de los 200 hospitales más grandes de Estados Unidos. En respuesta al ataque, y para mitigar la fuga de datos, la empresa decidió apagar sus sistemas, incluidos los portales con los que interactúan sus clientes. La empresa tenía almacenada información de todo tipo, desde datos sobre los sueldos de sus empleados hasta información sobre los reembolsos asociados a programas como Medicare.
Ataques de ransomware en marzo de 2020
3. Ataque de ransomware a Communications & Power Industries
En marzo, se supo que Communications & Power Industries (CPI), uno de los principales fabricantes de productos electrónicos, había sido víctima de un ataque de ransomware.
La empresa, con sede en California, fabrica componentes para dispositivos y equipos militares; y uno de sus clientes es el Departamento de Defensa de Estados Unidos. El ataque de ransomware comenzó cuando uno de los administradores del dominio de la empresa hizo clic en un enlace malicioso y activó un malware de cifrado de archivos. Debido a que CPI tenía miles de ordenadores asociados a un mismo dominio en la red, el ransomware pudo propagarse rápidamente por todas las oficinas y logró infectar incluso las copias de seguridad locales de la empresa.
Finalmente, la empresa pagó una suma de 500 000 dólares como respuesta al ataque. Se desconoce cuál fue la clase de ransomware utilizada.
Durante este mes, se registraron otros ataques que también cabe destacar:
- En la ciudad de Londres, Reino Unido, el centro médico Hammersmith fue atacado por el grupo de ransomware Maze. El centro se dedica a realizar pruebas clínicas iniciales de vacunas y fármacos. El ataque se produjo días después de que el grupo Maze se comprometiera a no atacar organizaciones de investigación médica durante la pandemia de COVID-19. El centro se negó a pagar el rescate exigido y el grupo, en respuesta, hizo públicos los detalles personales de miles de antiguos pacientes. Malcolm Boyce, director de la institución, dijo a los medios que prefería cerrar el centro antes que pagar el rescate.
Ataques de ransomware en abril de 2020
4. Ataque de ransomware a Energias de Portugal
En abril, se informó de que el gigante de la electricidad Energias de Portugal (EDP) había sido víctima de un ataque. Utilizando el ransomware Ragnar Locker, un grupo de ciberdelincuentes consiguió cifrar los archivos de la empresa, a la cual exigió el pago de casi 10 millones de dólares.
Los atacantes afirmaban haber robado más de 10 TB de datos confidenciales, y amenazaban con filtrarlos a menos que la empresa pagara el rescate. Para demostrar que contaban con esta información, los piratas informáticos publicaron capturas de algunos archivos en un sitio dedicado a filtraciones de datos. La información incluía, supuestamente, detalles privados sobre la facturación, los contratos, los clientes y los socios de la empresa.
EDP confirmó que se había producido un ataque, pero afirmó que no había pruebas de que se hubiera filtrado información confidencial sobre sus clientes. Sin embargo, atendiendo a la posibilidad de que se comprobara una filtración de datos en el futuro, la empresa ofreció a sus clientes un año del servicio de protección de la identidad de Experian sin coste alguno.
Durante este mes, se registraron otros ataques que también cabe destacar:
- Cognizant, empresa de la lista Fortune 500 que brinda servicios de TI a compañías de distintos sectores, reconoció que había sido víctima de un ataque de ransomware. El ataque afectó sus sistemas internos e hizo desaparecer su directorio privado, lo que interrumpió los servicios que presta a sus clientes. A fines de julio, en el informe financiero del segundo trimestre de 2020, Cognizant admitió que los ingresos de sus distintas áreas comerciales habían bajado un 3,4 % en total hasta los 4000 millones de dólares. Este descenso se debió, en parte, al ataque de ransomware de abril.
Ataques de ransomware en mayo de 2020
5. Ataque de ransomware a Grubman Shire Meiselas & Sacks
En mayo, el bufete neoyorquino Grubman Shire Meiselas & Sacks —empresa que atiende a una gran cantidad de famosos como Madonna, Elton John o Robert De Niro— fue víctima del ransomware REvil.
Los atacantes, en este caso, dijeron haber utilizado el ransomware REvil/Sodinokobi para robar datos personales como números de teléfono, direcciones de correo electrónico, comunicaciones privadas, acuerdos de confidencialidad, los contratos firmados con los clientes, etc. Los atacantes aseguraron que divulgarían la información en nueve entregas sucesivas a menos que la firma pagara un total de 21 millones de dólares como rescate. Cuando el bufete se negó a pagar esta suma, los atacantes doblaron sus exigencias y exigieron 42 millones de dólares.
Según parece, entre los famosos afectados por el ataque estaban Bruce Springsteen, Lady Gaga, Nicki Minaj, Mariah Carey y Mary J. Blige. El bufete de abogados se negó a negociar con los atacantes y solicitó ayuda al FBI.
Durante este mes, se registraron otros ataques que también cabe destacar:
- La Universidad Estatal de Michigan sufrió una infección del ransomware NetWalker. También conocido como Mailto, NetWalker es una variedad de ransomware que hizo su debut delictivo en agosto de 2019. Los atacantes le dieron a la universidad una semana para que pagaran el rescate y pudieran recuperar el acceso a los archivos cifrados. De no hacerlo, los atacantes amenazaron con filtrar los datos personales y bancarios de los alumnos. La universidad optó por no pagar el rescate, al parecer siguiendo las recomendaciones de las autoridades.
Ataques de ransomware en junio de 2020
6. Ataque de ransomware a Honda
En junio, el gigante automotriz Honda sufrió un ataque con el ransomware Snake (también conocido como Ekans), dirigido a sus oficinas de Estados Unidos, Europa y Japón. Tras detectar el ataque, Honda detuvo sus líneas de producción en algunas regiones para lidiar con la infección de su red informática. Los piratas informáticos utilizaron el ransomware para acceder a uno de los servidores internos de Honda y cifrar la información que contenía. Tras la infección, exigieron un rescate a cambio de la clave de descifrado. Tras el incidente, Honda indicó que los atacantes no habían demostrado la pérdida de información personal en modo alguno.
Durante este mes, se registraron otros ataques que también cabe destacar:
- Columbia College Chicago sufrió un ataque del grupo de ransomware NetWalker. En este caso, los atacantes le dieron a la institución educativa un plazo de seis días para pagar un rescate; de lo contrario, amenazaban con poner información sobre los estudiantes a la venta en la web oscura. Aunque la institución reconoció que los atacantes lograron acceder a la información personal de algunos usuarios, no está claro si decidieron pagar el rescate o si negociaron con los piratas informáticos.
Ataques de ransomware en julio de 2020
7. Ataque de ransomware a Orange
Orange, una empresa francesa de telecomunicaciones que hoy es el cuarto operador móvil más grande de Europa, sufrió en julio un ataque con el ransomware Nefilim. El incidente afectó a la división de servicios para empresas de Orange. El 15 de julio, la vulneración de datos se añadió al sitio de la web oscura de Nefilim. El grupo Nefilim subió un archivo de 339 MB con muestras de datos pertenecientes —según aseguraban— a los clientes de Orange.
Nefilim es un operador de ransomware relativamente nuevo, pues se vio por primera vez en 2020. Según Orange, la información expuesta corresponde a unos veinte clientes corporativos de la división de servicios para empresas.
Durante este mes, se registraron otros ataques que también cabe destacar:
- En agosto, la ciudad de Lafayette (Colorado) anunció que había pagado 45 000 dólares a un grupo de ransomware tras sufrir una infección que cifró la información de sus dispositivos. Se realizó el pago a cambio de una clave de descifrado, ya que la ciudad no era capaz de utilizar sus copias de seguridad para restaurar sus sistemas. Al pagar el rescate, la ciudad prefirió evitar que los residentes estuvieran sin servicio durante un tiempo prolongado. Aunque no revelaron el tipo de ransonmware empleado, se sabe que la infección deshabilitó los sistemas de red de la ciudad. Esto tuvo un impacto enorme, pues afectó a los sistemas de pagos en línea, los servidores de correo electrónico, los servicios telefónicos, etc. Se cree que el ataque tuvo su origen en un engaño de phishing o en un posible ataque de fuerza bruta.
Ataques de ransomware en agosto de 2020
8. Ataque de ransomware a la Universidad de Utah
En agosto, se supo que la Universidad de Utah había pagado un rescate de 457 000 dólares a un grupo de ciberdelincuentes para evitar la publicación de archivos confidenciales sustraídos durante un ataque de ransomware. El ataque cifró el contenido de algunos servidores pertenecientes a la Facultad de Ciencias Sociales y Ciencias del Comportamiento de la Universidad. Como parte del ataque, antes de cifrar los datos, los delincuentes habían copiado los archivos en su formato original.
Como los datos robados contenían información sobre alumnos y empleados, la universidad decidió pagar el rescate para evitar su filtración. También se recomendó a todos los alumnos y empleados de la Facultad afectada que cambiaran las contraseñas de sus servicios online y que estuvieran alerta a movimientos sospechosos en sus informes de crédito.
Durante este mes, se registraron otros ataques que también cabe destacar:
- R1 RCM Inc. fue víctima de un ataque de ransomware. La empresa, que antes se denominaba Accretive Health Inc., es una de las agencias de cobro de deudas médicas más grandes de Estados Unidos. La empresa presta servicio a más de 750 organizaciones de la salud estadounidenses y manejan los datos personales y médicos de más de diez millones de pacientes. R1 RCM Inc. prefirió no dar detalles sobre la vulneración; se desconoce qué sistemas o datos se vieron afectados. Sin embargo, se ha dicho que el ataque se realizó con el ransomware Defray, un tipo de malware dirigido que se suele propagar a través de correos electrónicos de phishing.
Ataques de ransomware en septiembre de 2020
9. Ataque de ransomware a K-Electric
En septiembre, se informó que K-Electric (único proveedor eléctrico de Karachi, Pakistán) había sido víctima de un ataque con el ransomware Netwalker. En el incidente, los servicios de facturación y los servicios en línea de la compañía eléctrica quedaron inhabilitados.
Los operadores del ransomware le exigieron a K-Electric el pago de 3,85 millones de dólares y avisaron que, de no recibir el dinero en siete días, la suma aumentaría a 7,7 millones. Netwalker publicó un archivo comprimido de 8,5 GB que contenía una recopilación de datos financieros, detalles de clientes y otros archivos supuestamente robados durante el ataque.
Netwalker ya había atacado previamente las oficinas de inmigración de Argentina, varios organismos gubernamentales de Estados Unidos y la Universidad de California en San Francisco (la cual pagó más de 1 millón de dólares como rescate).
Aunque K-Electric reconoció haber sufrido un problema de seguridad informática, aseguró que todos los servicios esenciales para sus clientes seguían en funcionamiento.
Durante este mes, se registraron otros ataques que también cabe destacar:
- El cuarto Tribunal de Distrito de Louisiana sufrió un ataque de ransomware en su sitio web que derivó en la publicación en Internet de documentos confidenciales. La herramienta utilizada para el ataque fue Conti, una variedad de ransomware relativamente nueva. Los piratas informáticos publicaron documentos en su sitio web de la web oscura sobre jurados, acusados y testigos vinculados a juicios que aún estaban en curso.
Ataques de ransomware en octubre de 2020
10. Ataque de ransomware a Press Trust of India
En octubre, la agencia de noticias Press Trust of India (PTI) sufrió una intrusión en sus servidores que detuvo sus servicios durante horas. Un portavoz de la empresa describió el incidente como un ataque masivo de ransomware, que afectó a sus operaciones y detuvo su capacidad para hacer llegar las noticias a los suscriptores que tiene en toda la India.
Se determinó que el ransomware utilizado fue LockBit, un software malicioso diseñado para bloquear el acceso de los usuarios a los sistemas informáticos y pedir el pago de un rescate para devolver el control.
Durante este mes, se registraron otros ataques que también cabe destacar:
- Software AG, una de las empresas de software más grandes del mundo, fue atacada por el grupo de ransomware Clop, que exigió un rescate de más de 20 millones de dólares. Después de que las negociaciones fracasaran, el grupo publicó en la web oscura una serie de capturas de los datos sustraídos a la empresa. Entre los datos había imágenes de pasaportes y DNI de los empleados, correos electrónicos del personal, documentos financieros y directorios de la red interna de la empresa.
Ataques de ransomware en noviembre de 2020
11. Ataque de ransomware al Tribunal Superior de Justicia de Brasil
En noviembre, el Tribunal Superior de Justicia de Brasil sufrió un ataque masivo de ransomware que afectó su infraestructura de TI y dejó fuera de servicio su sitio web.
Los atacantes aseguraron que habían cifrado toda la base de datos del Tribunal y que todo intento de descifrarla sería en vano. En una nota de rescate, los atacantes le brindaban al Tribunal una dirección de correo electrónico de ProtonMail para que se pusiera en contacto con ellos. Los piratas informáticos también intentaron atacar otros sitios web relacionados con el gobierno brasileño.
Durante este mes, se registraron otros ataques que también cabe destacar:
- El Manchester United Football Club fue noticia cuando se supo que el club había sido víctima de un ciberataque. Según la institución, si bien el incidente —que luego se supo que fue un ataque de ransomware— fue altamente sofisticado, contaban con protocolos y procedimientos para responder a situaciones de este tipo y pudieron hacer frente al ataque. El club aseguró que sus mecanismos de defensa identificaron el ataque y apagaron los sistemas afectados para proteger la información y minimizar los daños.
Ataques de ransomware en diciembre de 2020
12. Ataque de ransomware a GenRx Pharmacy
En diciembre, GenRx Pharmacy, una organización del cuidado de la salud con sede en Arizona, se vio obligada a advertirles a cientos de miles de pacientes sobre una posible filtración de datos tras un ataque de ransomware ocurrido meses atrás. Según indicó la empresa, los responsables del ataque lograron hacerse con un número de archivos que contenían, entre otros datos, información empleada para procesar las recetas de los pacientes y enviarles los productos correspondientes.
Durante este mes, se registraron otros ataques que también cabe destacar:
- El gigante de los electrodomésticos Whirlpool sufrió un ataque de ransomware por parte del grupo Nefilim. Los atacantes copiaron datos de los dispositivos de la empresa y luego los cifraron. Entre la información robada y publicada más tarde por los piratas informáticos había documentos sobre los beneficios de los empleados, solicitudes de información médica y comprobaciones de antecedentes.
En los últimos tiempos, los ataques de ransomware se han vuelto más selectivos a la hora de elegir quiénes son las víctimas y a cuánto ascienden los rescates. Kaspersky Anti-Ransomware Tool ofrece protección contra el ransomware, tanto para el hogar como para la empresa. Como con cualquier amenaza informática, la clave para mantenerse a salvo es estar vigilantes.
Artículos relacionados:
Los principales ataques de ransomware
Kaspersky
Artículos destacados
