Ransomware

Prevención ante ransomware

2020-01-16T13:37:14+01:00enero 16, 2020|Internet, Seguridad|

Algunos pasos útiles para la prevención de un brote de ransomware:

1- Utilizar software antivirus y filtrado de correo electrónico

Tener software antivirus instalado en todas las máquinas. El software debe actualizarse regularmente y escanear los archivos que se abren y envían. Configure el filtrado de correo electrónico en su servidor de correo. No menos importante, implemente un proceso para revisar e implementar actualizaciones de seguridad. Cualquier vulnerabilidad de alto a extremo riesgo debería ser reparada en 48 horas.

Todos los sistemas operativos de servidor y escritorio deben mantenerse actualizados con parches. Estos parches a menudo incluyen mejoras de seguridad basadas en nuevas amenazas y exploits. También, la mayoría de las aplicaciones incluyen procesos que acceden a Internet y las abre a la explotación por parte de ransomware. Audite todas las aplicaciones para asegurarse que estén configuradas y actualizadas.
3- Asegurar cualquier punto de acceso remoto
Las herramientas remotas como RDP (Remote Desktop Protocol) permiten el acceso remoto a los ordenadores para trabajo remoto y soporte del sistema. RDP es un objetivo frecuente de ransomware y debe configurarse de forma segura.
4- No use credenciales simples o predeterminadas
Consultar los requisitos de contraseña de usuario y contraseñas para asegurar que todos los PDR son fuertes. Verifique que los privilegios de administración solo se hayan otorgado a los usuarios y los procesos que los necesitan, y que se usen solo para tareas que necesitan esos privilegios.
5- Tenga cuidado con los dispositivos conectados
Administre el uso de dispositivos de almacenamiento extraíbles, como memorias y unidades USB. Restrinja el acceso a unidades y dispositivos extraíbles que se utilizan para copias de seguridad y manténgalos seguros.
6- Promover la conciencia del usuario.
Aunque se tenga instalado un antivirus y un software de filtrado de correo electrónico, ningún software es infalible. Eso significa que la atención del usuario también es importante para proteger contra el ransomware que llega a través de mensajes y correos electrónicos que contienen enlaces o archivos adjuntos.

Desarrolle una lista de verificación de correo electrónico sospechosa y distribúyala a todo el personal. Esta lista de verificación de correo electrónico podría incluir lo siguiente:

  • ¿La redacción del correo electrónico suena vaga?
  • ¿La dirección del correo electrónico corresponde a quién pretende ser?
  • ¿La dirección del correo electrónico ha modificado la ortografía para que parezca una fuente confiable?
  • ¿Hay algún error ortográfico en la parte principal del correo electrónico?
  • ¿Hay un sentido de urgencia?
  • ¿Reconoces la extensión del archivo adjunto?

Fuente https://www.interbel.es/guia-definitiva-de-proteccion-contra-ransomware-parte-iii/

Nueva Orleans declara estado de emergencia tras ciberataque

2019-12-16T17:37:51+01:00diciembre 16, 2019|Internet, Seguridad|

La ciudad de Nueva Orleans ha sufrido un ciberataque lo suficientemente grave como para que la alcaldesa, LaToya Cantrell, declare el estado de emergencia.

El ataque comenzó a las 5 a.m. del viernes 13 de diciembre, una vez que se detectó actividad sospechosa en la red de la Ciudad y como medida de precaución, el departamento de TI de la ciudad ordenó a todos los empleados desconectarse de la red WiFi y apagar las computadoras.

Durante la conferencia de prensa en la que se informó del estado de emergencia, la alcadesa Cantrell confirmó que se trataba de un ciberataque por ransomware.

Aún es escasa la información al respecto, mientras tanto la investigación que involucra a las agencias estatales y federales continúa, así como el proceso de recuperación.

El 2 de octubre, el FBI emitió una advertencia por ciberataques de alto impacto contra objetivos del gobierno estatal y local. La advertencia también ponía sobre aviso a organizaciones médicas, industriales y del sector transporte.

El ataque de ransomware que ha afectado a Nueva Orleans sigue al que tuvo como objetivo el estado de Louisiana en noviembre. Aún no se sabe si los dos estaban conectados. Sin embargo, en agosto, 23 agencias gubernamentales fueron desconectadas a consecuencia de un ciberataque en el Estado de Texas. Lo cual indica que los municipios estadounidenses están constantemente en la mira de los atacantes.

Fuente https://www.forbes.com/sites/daveywinder/2019/12/14/new-orleans-declares-state-of-emergency-following-cyber-attack/#722a2bf16a05

Ciberataque a Pemex

2019-11-13T16:24:36+01:00noviembre 13, 2019|Internet, Seguridad|

Pemex (Petróleos Mexicanos) trabaja aún en restablecer los equipos dañados de la parte administrativa ubicada en Ciudad de México, resultado del ciberataque registrado el pasado 10 de noviembre.

De acuerdo con información del sitio web Expansión, la empresa estatal se niega a pagar los cerca de 4.9 millones de dólares que han exigido como rescate los atacantes, informó Rocío Nahle, titular de la Secretaría de Energía (Sener).

Nahle dijo que los problemas se centran en los equipos ubicados en la Torre Ejecutiva de Pemex en Ciudad de México.

Los trabajos en las oficinas de Pemex seguían paralizados la mañana de este miércoles, porque el personal continuaba sin acceso a sus equipos.

Al revisar las capturas de pantalla que compartieron empleados en redes sociales, se revela que los atacantes abrieron una ventana de negociación, mediante la cual se exigen 565 bitcoins (4.9 millones de dólares) para liberar las computadoras afectadas de la petrolera.

La ventana de negociación es parte de las instrucciones que envían los ataques con el ransomware ‘Doppel Paymer’ para pagar el rescate, como una línea de depósito o transferencia.

Los atacantes dieron 48 horas a Pemex para hacer el pago. Varios analistas consultados por Expansión afirman que, si el pago no se realizó, lo único que la empresa pudo hacer para reactivar los equipos sería desconectar y reinstalar de cero, aunque esto no garantiza que se evite un ataque posterior.

La compañía no ha actualizado la información sobre las afectaciones de este ataque. Pemex aseguró el lunes por la tarde que el ataque había alcanzado a cerca del 5% de las computadoras personales.

Fuente https://expansion.mx/empresas/2019/11/13/pemex-se-niega-a-pagar-el-rescate-tras-el-ataque-cibernetico

Empresas españolas sufren ataque de ransomware

2019-11-04T16:59:33+01:00noviembre 4, 2019|Internet, Seguridad|

Varias empresas españolas han sufrido un serio ataque de ransomware que recuerda al vivido a mediados de 2017 con WannaCry. Así lo informa el sitio El Confidencial con una publicación, la cual indica que los primeros ataques confirmados de forma oficial los han sufrido la Cadena SER y otras emisoras de Prisa Radio, pero también varias consultoras tecnológicas, de las cuales Everis ha confirmado oficialmente estar afectada. «Estamos sufriendo un ataque masivo de virus a la red de Everis. Por favor, mantengan los PC apagados». Es el mensaje interno que ha remitido Everis a sus empleados, según ha podido confirmar este diario y han publicado también varios medios especializados. La compañía confirma que ha enviado a sus trabajadores a casa hasta que puedan solventar la incidencia.

«Prisa Radio ha sufrido esta madrugada un ataque de virus que ha tenido una afectación grave y generalizada de todos nuestros sistemas informáticos. Los técnicos especializados en este tipo de situaciones aconsejan encarecidamente la desconexión total de todos los sistemas con el fin de evitar la propagación del virus. Hablamos, por tanto, de una situación de extrema emergencia», ha comunicado esta mañana la empresa en un mensaje interno al que ha tenido acceso el diario.

«A partir de ese momento, se irá chequeando puesto a puesto —siguiendo las instrucciones precisas del Departamento de Sistemas— para autorizar en los casos en que haya garantía absoluta la puesta en marcha de cada equipo. Por el momento, y hasta nuevo aviso, la emisión de Cadena SER queda centralizada en Radio Madrid; quedan anuladas todas las emisiones locales y regionales, salvo aquellas que hayan sido autorizadas expresamente por la Dirección de Antena. En este momento, la seguridad es la máxima de la compañía, por encima de cualquier otro compromiso. Cualquier acción individual no autorizada puede poner en peligro el trabajo de rescate que se está llevando a cabo», cierra el mensaje.

El Departamento de Seguridad Nacional (DSN), dependiente de Presidencia de Gobierno, ha publicado también un breve comunicado confirmando el ciberataque y las medidas que ha tomado la SER. «Este tipo de ataque se produce con bastante frecuencia. En 2016, el Instituto Nacional de Ciberseguridad gestionó unos 2.100 incidentes similares a este. Se trata de un malware del tipo ramsonware que actúa sobre la vulnerabilidad de los componentes de ofimática de los PC, cifrando todos los archivos y los de las unidades de red a las que estén conectados, e infectando al resto de sistemas de Windows que haya en esa misma red. Tras instalarse en el equipo, bloquea el acceso a los ficheros del ordenador afectado y pide un rescate. La vía de infección parece ser un fichero adjunto a un correo electrónico. No compromete la seguridad de los datos ni se trata de una fuga de datos».

Fuente https://www.elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-152_2312019/

Hospitales en Ontario atacados por ransomware

2019-10-22T16:41:00+02:00octubre 22, 2019|Internet, Seguridad|

Los sistemas informáticos de tres hospitales en Ontario, Canadá, han sido atacados en fechas recientes.

El responsable de dicho ataque, es el malware conocido como «Ryuk» que ataca las redes informáticas, permaneciendo invisible para los usuarios promedio durante semanas o meses. Durante ese tiempo, recopila información sobre la organización, como su capacidad para pagar un rescate.

Posteriormente, Ryuk bloquea los archivos y exige al propietario de la red el pago para liberarlos y que sean accesibles nuevamente.

Los delincuentes detrás del ataque «aprenderán cómo operas de la A a la Z … luego te golpearán», dijo a CBC News Zohar Pinhasi, un experto en ciberterrorismo con sede en Florida. Indicó que es muy probable que otros hospitales canadienses estén afectados y aún no lo hayan detectado.

La operación diaria de los tres hospitales estuvo seriamente afectada, ya que los empleados tuvieron que transcribir la información de cada paciente.

Sarah Downey, CEO del Hospital Michael Garron de Toronto, informó que «el malware logró ingresar al sistema, pero ningún dato llegó a salir del hospital, debido a que fueron detenidos por un firewall«.

El Hospital Michael Garron, anteriormente conocido como Toronto East General, publicó un mensaje en su sitio web el 26 de septiembre, informando que había «descubierto un virus en uno de los sistemas de TI».

El mismo día, la Alianza de Hospitales Listowel Wingham anunció en Facebook que sus dos hospitales en el suroeste de Ontario sufrían una «interrupción en su sistema de TI, lo que significa que nuestras aplicaciones se verán afectadas».

Los tres hospitales afirman que no pagarán el rescate para recuperar sus archivos. Los sistemas en las tres instituciones están en proceso de restauración.

La RCMP (Royal Canadian Mounted Police) insta a víctimas de malware a no pagar los rescates porque, en realidad, no hay garantía de que los archivos se desbloqueen. Los delincuentes cibernéticos inlcuso pueden  exigir más dinero o identificar a la víctima como objetivo de nuevos ataques.

Los expertos en ciberseguridad estiman que los atacantes responsables de Ryuk, identificados por primera vez en agosto de 2018, han obtenido ganancias por USD $3.7 millones en cinco meses.

En junio pasado, el Centro Nacional de Seguridad Cibernética del Reino Unido advirtió que el código malicioso asociado con Ryuk permite a los atacantes monitorear la actividad de la computadora de una víctima y posteriormente propagarse a otras máquinas en la misma red.

No ha quedado claro cómo fue que los hospitales de Ontario inicialmente recibieron el ataque, pero este malware a menudo penetra en los sistemas utilizando un caballo de Troya: un usuario abre un archivo adjunto de correo electrónico infectado y el código malicioso se propaga.

Sin embargo, los centros de salud de Ontario no son los únicos que han sido víctimas de los ataques de Ryuk en los últimos días.

Esta semana, tres hospitales de Alabama indicaron que una infección similar apagó los sistemas informáticos y bloqueó el acceso a las listas de pacientes. Varios hospitales en Australia quedaron paralizados por un ataque de ransomware, se informó que también se involucraba a Ryuk.

Fuente https://www.cbc.ca/news/technology/ransomware-ryuk-ontario-hospitals-1.5308180

Los ransomware Yatron y FortuneCrypt

2019-10-08T17:11:16+02:00octubre 8, 2019|Internet, Seguridad|

No es fácil recuperar archivos cifrados mediante ransomware, y en muchas ocasiones es imposible. Sin embargo, existen buenas noticias para las víctimas de los ransomware Yatron y FortuneCrypt: Los expertos de Kaspersky han desarrollado y publicado descifradores para sus archivos.

Cómo descifrar los archivos que ha cifrado Yatron

El ransomware Yatron se basa en otro cifrador, llamado Hidden Tear, el cual tiene una historia poco común. Hace algunos años, el investigador turco Utku Sen creó este malware con fines educativos y de investigación y subió su código fuente a Internet. El legado de este software sigue con todos nosotros; de hecho, los expertos siguen encontrando nuevo ransomware que se basa en él y Yatron es solo un ejemplo.

Por fortuna, se han encontrado vulnerabilidades en el código de Yatron y los expertos han podido aprovecharlas para crear un descifrador. Al ver la extensión *.yatron en los archivos bloqueados, se deberá visitar el sitio web No More Ransom y descargar la herramienta de descifrado que recuperará los archivos.

Cómo descifrar los archivos cifrados por FortuneCrypt

En lugar de usar lenguajes avanzados como C/C++ y Python, los creadores de FortuneCrypt lo escribieron en BlitzMax, un lenguaje bastante simple, muy similar a BASIC en modo turbo.

Los expertos descubrieron que el algoritmo de cifrado de este malware dista mucho de ser perfecto, lo cual les permitió desarrollar un descifrador para este. Lo mismo que Yatron, las víctimas de FortuneCrypt pueden descargar ahora una herramienta de descifrado desde el portal No More Ransom.

Qué puedes hacer si el ransomware infecta tu ordenador

En primer lugar, no es recomedable pagar el rescate. Pagando solo se anima a los criminales a continuar, y no hay ninguna garantía de recuperar los datos. La mejor forma de proceder es ir a la web No More Ransom, creada por expertos de varias empresas de ciberseguridad y organismos policiales de todo el mundo, incluyendo Kaspersky, Interpol y la policía holandesa, con el fin de mejorar la mala situación de las víctimas de ransomware. La web contiene descifradores para cientos de programas ransomware y, por supuesto, todos son gratuitos.

Cómo evitar ser una víctima del ransomware

  • No descargue programas de sitios web desconocidos o sospechosos. Aunque el nombre del programa parezca correcto, el paquete puede contener algo completamente diferente y peligroso.
  • No hacer clic en enlaces ni abrir archivos adjuntos en los correos electrónicos de remitentes desconocidos. Si recibe un mensaje sospechoso e inesperado de algún amigo o compañero de trabajo, llámelo para aclarar si los archivos son seguros.
  • Asegúrarse de instalar las últimas actualizaciones para su sistema operativo y los programas utilizados habitualmente. Esto ayudará a mantenerle alejado de las vulnerabilidades de las que se aprovechan los creadores de ransomware.
  • Instalar una aplicación de seguridad fiable y nunca desactivarla, aunque lo solicite algún programa.
  • Realizar copias de seguridad de la información importante y almacenarla en la Nube, una unidad flash o una unidad externa.

Le invitamos a ponerse en contacto con nosotros para proveerle más información respecto al apoyo que Adaptix Networks puede brindar a su empresa en software de seguridad y las herramientas corporativas de Kaspersky Lab.

Fuente https://www.kaspersky.es/blog/no-more-ransom-yatron-fortunecrypt/19041/

New Bedford, Massachusetts, sufre ataque de ransomware

2019-09-20T12:51:33+02:00septiembre 20, 2019|Internet, Seguridad|

La ciudad de New Bedford, en Massachusetts, ha sido víctima de un severo ataque de ransomware.

El incidente ocurrió aproximadamente dos meses atrás, pero la información fue revelada al público hasta el 4 de septiembre, cuando Jon Mitchell, alcalde de New Bedford, anunció el incidente durante una conferencia de prensa.

Según las declaraciones del alcalde, el malware ingresó a las redes TI de la ciudad en algún momento entre el 4 y 5 de julio. Los atacantes comprometieron las redes del gobierno e instalaron una variante del ransomware conocido como Ryuk, ampliamente utilizada con fines de extorsión.

El ransomware logró extenderse por toda la red gubernamental de la ciudad, encriptando los datos almacenados en más de 150 estaciones de trabajo, casi el 5% del total de computadoras de la ciudad. Por ahora, cientos de funcionarios públicos tienen problemas para acceder a algunos de los sistemas del gobierno de New Bedford, aunque el ataque no logró extenderse a toda la red.

Los equipos de seguridad TI de la ciudad afirman que, debido a que el ataque ocurrió por la noche, muchos de los sistemas se encontraban cerrados, por lo que el impacto fue moderado. La infección fue detectada al comienzo de la jornada laboral siguiente; después de concluir que se trataba de un ataque de ransomware, se desconectaron las computadoras infectadas del resto de la red para mitigar el alcance del ataque.

Además, el alcalde informó que el equipo de TI de la ciudad fue contactado por el responsable del ataque, exigiendo una cantidad cercana a los 5.3 millones de dólares, mismos que debían ser pagados a través de una transferencia de Bitcoins.

El gobierno de New Bedford realizó una contraoferta de alrededor de 400 mil dólares, que los atacantes rechazaron. Al no poder negociar, los equipos de TI decidieron restablecer la información perdida a partir de algunas copias de seguridad, lo que tomará algo de tiempo. Si bien el alcalde señala que la ciudad no podría cubrir una cifra tan elevada, también menciona que sus equipos de TI decidieron mantener la comunicación con el fin de ganar tiempo para implementar algunas medidas y prevenir posibles ataques en el futuro.

Múltiples ataques de ransomware en diversos estados de Estados Unidos han sido reportados recientemente. Hace algunas semanas, expertos en seguridad del Instituto Internacional de Seguridad Cibernética (IICS) reportaron algunos incidentes similares en distintas ciudades de Florida; en la mayoría de los casos, las víctimas tuvieron que pagar rescates de alrededor de 500 mil dólares. Por otra parte, estados como Nueva York y Louisiana también han reportado severas infecciones con malware de cifrado capaz de paralizar las actividades en oficinas gubernamentales y servicios públicos.

Fuente https://noticiasseguridad.com/malware-virus/massachusetts-pagara-400-mil-dolares-a-hackers-por-ataque-de-ransomware/

Ransomware afecta Luisiana

2019-07-29T10:55:48+02:00julio 29, 2019|Internet, Seguridad|

En los últimos meses continuamente se registraron ataques informáticos a ciudades estadounidenses, como el que provocó que en Baltimore se desconectará la red informática o que en la ciudad de Riviera Beach se votara a favor de pagar 600,000 dólares en bitcoins para recuperar su información.

En esta ocasión el ransomware afecta Luisiana, el gobernador John Bel Edwards, ha tenido que declarar el estado de emergencia tras un ciberataque a varios sistemas. Las redes informáticas de tres distritos (Sabine, Morehouse y Ouachita) están caídas, pero lo más preocupante es que han cifrado los archivos y ahora son inaccesibles.

Al declarar el estado de emergencia, el gobernador de Luisiana puede disponer de recursos estatales y así ayudar a los distritos afectados. Esto incluye la asistencia de expertos en ciberseguridad de diferentes organismos de los EEUU.

Esta es la segunda vez que un gobernador de un estado tiene que declarar el estado de emergencia como respuesta a un ramsomware o algún tipo de ciberataque.

La primera vez fue en Colorado, en febrero del año pasado. En aquel momento, el Departamento de Transporte del estado se vio obligado a cerrar sus operaciones tras haber sido infectados con el ransomware SamSam.

A diferencia de los otros casos, aún no se ha informado el monto del rescate que han pedido los atacantes para liberar los equipos y archivos afectados. Hasta el momento no se sabe qué variante de ransomware ha afectado a los distritos escolares o cuál es el alcance exacto de los daños.

Cómo evitar un ataque de cifrado

Casi todos los casos de infección por ransomware siguen una estructura similar: alguien de la administración municipal recibe un mensaje que incluye un enlace o archivo adjunto con malware y, al no identificar la amenaza, el empleado lanza el malware que, a su vez, explota las vulnerabilidades ya conocidas en el sistema operativo o en otro software para cifrar los datos. A veces (siempre mediante las vulnerabilidades), el malware se expande a todos los ordenadores de la red local de la víctima. Por ello, te recomendamos que sigas estos tres consejos:

  • Actualiza el software de inmediato, dando prioridad a los sistemas operativos.
  • Utiliza soluciones de seguridad que puedan tratar con el ransomware ya conocido y detectado en todos los ordenadores. Aunque ya cuentes con una protección de confianza, puedes utilizar la herramienta Kaspersky Anti-Ransomware como una capa adicional de protección, además, puede operar junto con los productos de seguridad de otras empresas.
  • Forma a tus empleados para que reconozcan y se defiendan contra las técnicas de ingeniería social que utilizan los ciberdelincuentes para introducirse en las redes corporativas.

Le invitamos a ponerse en contacto con nosotros para proveerle más información  respecto al apoyo que Adaptix Networks puede brindar a su empresa en software de seguridad y las herramientas corporativas de Kaspersky Lab.

Fuente https://www.genbeta.com/actualidad/gobernador-luisiana-declara-estado-emergencia-ransomware-que-ha-afectado-a-varios-distritos-escolares

Ataques de ransomware

2019-07-04T12:07:29+02:00julio 4, 2019|Internet, Seguridad|

En los últimos años han sido muchas las empresas que se han enfrentado a un cifrado de datos vitales por parte de un ransomware, y con el que las compañías afrontan dos opciones críticas, pagar una elevada suma por el rescate de sus archivos sin ninguna garantía o perderlos de forma irremediable.

Los ataques de ransomware saltaron al conocimiento del público con el secuestro masivo de datos de empresas importantes en 2017, cuando una variante de este malware conocida como WannaCry puso en jaque a compañías como Telefónica. Sin embargo, el día a día de este tipo de ciberdelincuencia discurre a una escala mucho menor, entre las PyME y emprendedores, donde la ciberseguridad y la repercusión son menores y las posibilidades de extorsión, por lo tanto, mayores.

Una vez que se ha producido la infección del sistema se pueden dar dos casos, que la empresa tenga una copia de seguridad actualizada y pueda recuperar sus archivos comprometidos o, por el contrario, que el cifrado haya secuestrado datos claves de los que no se tienen copias.

Este último es “el escenario más apocalíptico que se puede dar” según Marco Antonio Lozano, responsable de Servicios de Ciberseguridad de Empresas y Profesionales en el Instituto Nacional de Ciberseguridad de España (Incibe), puesto que es muy difícil descifrar este tipo de malware y muy pocas compañías a nivel mundial ofrecen garantías para recuperar los archivos.

De esta forma, el usuario se puede encontrar ante la desesperante circunstancia de ver archivos de importancia capital para el funcionamiento de su empresa comprometidos, sin soluciones posibles por parte de los técnicos de ciberseguridad y el pago como única alternativa al hundimiento de la compañía. ¿Qué debería hacer?

“En ningún caso recomendamos pagar”, subraya Lozano, “pagar no garantiza obtener una solución al problema. Además, así se demuestra a los cibercriminales que este tipo de extorsiones funcionan”, explican desde el proyecto internacional anti-ransomware.

En este sentido, los expertos hacen hincapié en que el usuario no puede saber si el malware que ha infectado su sistema tiene la funcionalidad de descifrado o no. Es decir, que hay programas malignos que sólo pueden bloquear los datos, pero no liberarlos, por lo que el pago no resolverá nada.

Asimismo, Lozano señala que, aun consiguiendo que los ciberdelincuentes desbloqueen los archivos mediante el pago, nada garantiza que el malware no siga en el sistema y a los pocos meses vuelva a pedir otro rescate. “Puede haber rebrotes. Al final, si pagas, te vas a quedar con un sistema que no sabes si está comprometido o no. No sabes si los archivos siguen infectados”, subraya.

A pesar de todos estos esfuerzos, la complejidad para resolver este tipo de ataques a posteriori es tan elevada que en muchas ocasiones no se pueden recuperar los archivos encriptados. Por ello, todas las fuentes consultadas coinciden en que la mejor forma de defenderse contra este tipo de malware es la prevención, con soluciones de ciberseguridad para empresas, auditorías continuas de vulnerabilidades, formación de los usuarios en buenas prácticas y la realización de copias de seguridad de toda la información crítica de la empresa.

Este artículo fue originalmente publicado en el sitio web Xataka, para consultar el artículo completo ingresar a https://www.xataka.com/seguridad/cuando-empresa-sufre-ataque-ransomware-me-llaman-para-solucionarlo-dificil-lucha-malware-momento

Ciudades cifradas

2019-07-02T18:24:11+02:00julio 2, 2019|Internet, Seguridad|

El número de ciberataques a las administraciones municipales estadounidenses va en aumento. En menos de dos meses, tres ciudades sufrieron la misma amenaza: el ransomware.

Baltimore, en el estado de Maryland, fue atacada el 7 de mayo. La administración de la ciudad decidió no ceder a la presión de los extorsionistas y, según las estimaciones, sufrió pérdidas de más de 18 millones de dólares. Un par de semanas después, Riviera Beach, en Florida, fue la siguiente. Se cifraron los ordenadores de la ciudad y los funcionarios respondieron pagando a los extorsionistas con 65 bitcoins, es decir, unos 600,000 dólares.

Una semana después, otra ciudad del mismo estado recibió un ataque: Lake City. Esta vez la administración de la ciudad reflexionó aún menos y acabó pagando casi medio millón de dólares a los extorsionistas. Desconocemos si pudieron descifrar sus datos, pero han confirmado que los atacantes les enviaron la clave de descifrado.

Pero se trata de una nueva oleada de ataques, de hecho, no hace falta profundizar mucho para dar con otros incidentes similares en Atlanta (Georgia), Jackson County (Georgia), Albany (Nueva York) y muchas más.

Como ha demostrado el caso de Baltimore, sale mucho más caro enfrentarse a las consecuencias de un ataque que pagar a los extorsionistas. De hecho, es muy probable que los cálculos de las pérdidas de este incidente influenciaran en la decisión de los ayuntamientos de Riviera Beach y Lake City.

Evidentemente, la decisión de pagar es comprensible. Cuando el ransomware paraliza los servicios de la ciudad, no solo hablamos de pérdidas financieras, sino que también afecta a la vida y al bienestar de la población local. No obstante, cuando una ciudad paga, los atacantes descubren que sus esfuerzos no han sido en vano. Por tanto, eligen la próxima víctima y continúan con su estrategia. Esto explica por qué tanto el FBI como las empresas implicadas en la seguridad de la información no recomiendan pagar a los extorsionistas.

Cómo evitar un ataque de cifrado

Casi todos los casos de infección por ransomware siguen una estructura similar: alguien de la administración municipal recibe un mensaje que incluye un enlace o archivo adjunto con malware y, al no identificar la amenaza, el empleado lanza el malware que, a su vez, explota las vulnerabilidades ya conocidas en el sistema operativo o en otro software para cifrar los datos. A veces (siempre mediante las vulnerabilidades), el malware se expande a todos los ordenadores de la red local de la víctima. Por ello, te recomendamos que sigas estos tres consejos:

  • Actualiza el software de inmediato, dando prioridad a los sistemas operativos.
  • Utiliza soluciones de seguridad que puedan tratar con el ransomware ya conocido y detectado en todos los ordenadores. Aunque ya cuentes con una protección de confianza, puedes utilizar la herramienta Kaspersky Anti-Ransomware como una capa adicional de protección, además, puede operar junto con los productos de seguridad de otras empresas.
  • Forma a tus empleados para que reconozcan y se defiendan contra las técnicas de ingeniería social que utilizan los ciberdelincuentes para introducirse en las redes corporativas.

Le invitamos a ponerse en contacto con nosotros para proveerle más información  respecto al apoyo que Adaptix Networks puede brindar a su empresa en software de seguridad y las herramientas corporativas de Kaspersky Lab.

Fuente https://www.kaspersky.es/blog/encrypted-city-administrations/18766/

Ir a Arriba