Alrededor del mundo, cientos de miles de empleados en miles de empresas reciben un correo del departamento de finanzas, con un PDF adjunto con los detalles del bonus anual de los empleados. Algunos, los más precavidos, borran este correo intuyendo que se trata de un ataque de phishing. Otros, abren el archivo adjunto, y desatan el peor ciberataque de la historia: el 43% de los dispositivos del mundo se ven afectados con todos sus archivos cifrados, y los costes ascienden a los 85 mil millones de dólares.
Todavía no ha ocurrido nada parecido en el mundo. Sin embargo, según un estudio del proyecto de Cyber Risk Management (CyRiM) de Singapur, éste es un escenario que podría producirse. La investigación, elaborada para ilustrar las consecuencias catastróficas que podría tener un incidente de este tipo sobre la economía, describe en detalle un ataque muy avanzado de ransomware, llamado Bashe, y los devastadores efectos que podría tener.
El estudio describe varios escenarios: el “mejor caso”, en el que se cifran el 43% de los dispositivos del mundo con costes de 85 mil millones de dólares; y el “peor caso” implica cifrarse el 97% de los dispositivos, y costes de 193 mil millones de dólares.
Desarrollo de un ataque a gran escala
El estudio describe como los desarrolladores del ransomware se reclutan para crear este malware y diseñar el ataque. Uno de los objetivos de los cibercriminales es evitar los escollos de anteriores ataques globales. Esta vez, Bashe se diseña para aprovechar de una vulnerabilidad sin parche, y para que no haya posibilidad de que se descubra un “kill switch” online, tal y como ocurrió con WannaCry.
Como tantas otras campañas de malware, se envía dentro de archivos adjuntos, en este caso un PDF, con el sujeto “Bono de final de año”. El malware es capaz de imitar el dominio del correo electrónico de la víctima, y así engañar el apartado de la dirección del remitente. De este modo, parece que el correo de verdad proviene de la empresa de la víctima.
Una vez abierto el documento adjunto, se ejecuta el malware, descargando el gusano de ransomware, cifrando todos los datos en todos los equipos que comparten la red con el dispositivo infectado. Pide un rescate de $700. Para viralizar más el ransomware, el gusano reenvía automáticamente el correo malicioso a todos los contactos de la víctima.
Tras 24 horas, Bashe consigue cifrar los datos de cerca de 30 millones de dispositivos en todo el mundo.
La respuesta de las empresas
El estudio explica que las industrias más afectadas serían el sector minorista, el sector sanitario, y el sector manufacturero. En el sector minorista, los costes vendrían de sistemas de pago cifrados, y el paro de comercio electrónico debido a la caída de las webs. El sector sanitario se ve perjudicado debido a sus sistemas anticuados, tal y como se vio en los ataques de WannaCry. Y en cuanto a la manufactura, el cifrado de las máquinas y la infraestructura necesaria para llevar a cabo su actividad, junto a los posibles problemas en la entrega de mercancía, logística e inventariado, serían los principales problemas derivados de este tipo de ataque.
Debido a que muchas empresas dependen de los sistemas informáticos para llevar a cabo su actividad, alrededor del 8% de ellas pagan el rescate para volver con rapidez a la normalidad. La organización criminal recauda entre 1,14 y 2,78 mil millones de dólares de este modo. Las empresas más pequeñas son las que más probabilidad de pagar el rescate tienen, dada su capacidad limitada para gestionar la catástrofe.
Las repercusiones
Más allá de los costes económicos que hemos visto, uno de los resultados más inmediatos es un aumento de desconfianza en los dispositivos conectados, junto a controles más estrictos sobre el uso del email corporativo.
Otro efecto del ataque de Bashe es un incremento dramático en la demanda de seguridad informática. Las empresas quieren proteger sus redes corporativas y sus activos para prevenir ataques parecidos. La formación en ciberseguridad se convierte en una asignatura obligatoria para los empleados, y los cursos de gestión de ciberriesgos en requisito para conseguir una póliza de seguro.
Cómo protegerte de ataques avanzados
Aunque un ataque a esta escala de Bashe no sea muy probable, cualquier tipo de ciberataque puede tener repercusiones muy graves para una empresa, independientemente de su tamaño:
1.- Formación de empleados. Lo solemos decir muy a menudo, pero uno de los pasos más importantes para proteger contra las ciberamenazas más avanzadas es la concienciación. No hay que esperar a que se produzca un incidente como este para empezar a formar a los empleados en la materia de la ciberseguridad.
2.- Cuidado con los emails. Aquí hemos visto un escenario catastrófico en el que el correo electrónico ha jugado un papel clave. Y no es la única amenaza que pueda entrar a través del email: el 87% de los profesionales de seguridad TI ha admitido que su compañía se ha enfrentado a una amenaza a través de email. Si tienes incluso la más mínima duda acerca de la procedencia de un email, es conveniente alertar al equipo de seguridad de la empresa.
3.- Soluciones de seguridad avanzada. El uso de una suite de seguridad informática como Panda Adaptive Defense puede detectar cualquier intento de ataque que llegue por email gracias al empleo de la inteligencia cognitiva y de un sistema de detección en tiempo real. Es más, cuenta con un servicio gestionado de Threat Hunting, que busca de manera activa las amenazas más avanzadas, para que tu red esté siempre protegida.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
