El ransomware está de vuelta. Bueno, en realidad nunca se ha ido, pero es verdad que, de vez en cuando se activan campañas más agresivas, con un impacto más amplio o más llamativas y noticiables.
La última administración pública en verse afectada por el ransomware es el Ayuntamiento de Zaragoza. El día 20 de noviembre, el Instituto Municipal de Empleo y Fomento Empresarial, Imefez, fue víctima de un ciberataque que ha dañado sus redes informáticas.
El ransomware, llamado sodinokibi, secuestró los servidores de Imefez, dejando a unos 70 empleados sin poder realizar sus funciones. Los ciberatacantes pedían un rescate de 30.000€. Se ha notificado a la Policía Nacional, al Centro Criptológico Nacional y al Instituto Nacional de Ciberseguridad. El CCN ha enviado a Zaragoza cuatro técnicos para ayudar a resolver el incidente cuanto antes.
De hecho, la lista de instituciones afectadas por esta modalidad de malware no para de crecer este 2019. En mayo, la ciudad de Baltimore fue atacada con una variante de ransomware llamada RobbinHood; el sistema del ayuntamiento permaneció bloqueado durante casi dos semanas, y en septiembre seguían notándose los efectos del incidente.
Este ataque puede considerarse como el principio de una oleada de ataques de ransomware dirigido contra administraciones públicas de todo el mundo. Esta oleada ha afectado ya a decenas de instituciones gubernamentales, principalmente en Estados Unidos y Europa.
Impacto en España
En España esta ola llegó a mediados de septiembre. Desde entonces, varios ayuntamientos e instituciones se han visto afectados por ataques de ransomware.
Los primeros indicios llegaron desde Euskadi, donde se registraron al menos cuatro denuncias por presuntos delitos de ciberseguridad. Se alertó entonces de una campaña de envíos masivos de correos electrónicos con malware adjuntos en la región. Pero ya varias entidades gubernamentales habían sido afectadas.
Esta campaña de ataques ha llevado al Basque Cybersecurity Centre (BCSC) a activar un protocolo de actuación. El organismo coordina un grupo de trabajo contra la campaña. Afirma Javier Diéguez, director de BCSC “no estamos ante una situación excepcional ni de crisis de país, aunque sí es cierto que, a diferencia de otras veces, algunas de las entidades afectadas han filtrado la noticia de estos ataques”. El BCSC ha explicado en su web que el ransomware llegaba a estas instituciones a través del botnet Emotet.
El Ayuntamiento de Jerez
El 4 de octubre, el ayuntamiento de Jerez anunció que había sido atacado por un ransomware llamado Ryuk, una de las variantes de Emotet. Este crypto-malware cifró archivos almacenados en más de 50 servidores, forzando a los empleados del ayuntamiento a realizar su trabajo de forma manual. Se ha confirmado que no ha habido fuga de datos, y no se ha pagado el rescate que pedía los atacantes.
Mamen Sánchez, la alcaldesa de Jerez, ha explicado que la institución fue atacada “a través de correos electrónicos”. También ha comentado que la variante de Ryuk utilizada en el ataque fue creada el día 27 de septiembre y, por lo tanto, el sistema antivirus que emplea el ayuntamiento no fue capaz ni de reconocer ni de parar el ransomware.
Al descubrir el ataque, el Consistorio pidió ayuda al Ministerio del Interior, que mandó a tres expertos a la ciudad para colaborar con los informáticos del ayuntamiento. También se ha puesto en contacto con otras instituciones que han sufrido vulneraciones similares. “Hay muchísimas ciudades que se han visto afectadas, lo mejor es hablar con ellos para saber cómo lo han podido resolver”, ha señalado Sánchez.
Qué hacer para protegerse contra el ransomware
Como señala, una de las razones por el éxito del ataque contra el Ayuntamiento de Jerez fue el hecho de que su sistema antivirus no fuera capaz de detectar una nueva variante de ransomware. Este hecho subraya la importancia de la ciberseguridad avanzada adaptativa e inteligente. Las soluciones tradicionales basadas en firmas son muy eficaces y precisas a la hora de descubrir el malware conocido. Sin embargo, muchos ataques utilizan malware nuevo o variantes de malware conocido que no son reconocidos por estas soluciones. Es más, cada vez más se emplean técnicas Living-off-the-Land que no utilizan malware, que estas soluciones no pueden detectar.
Panda Adaptive Defense no se basa en firmas, si no en la confianza cero de cualquier actividad en los dispositivos. Para ello monitoriza de forma proactiva toda la actividad de la red informática y crea perfiles de comportamiento clasificando absolutamente toda la actividad del entorno. Si detecta cualquier proceso o actividad sospechoso, incluso aunque no tenga un perfil aparentemente malicioso, lo bloquea y lo analiza. Es más, cuenta con tecnología anti-exploit que es capaz de detectar los scripts y las macros maliciosas.
No obstante, la mayoría de ataques con ransomware aprovechan las vulnerabilidades existentes para acceder a la red corporativa. Por eso es muy importante contar con soluciones de gestión de las vulnerabilidades y sus correspondientes actualizaciones y parches, tanto de los sistemas operativos como de cientos de aplicaciones. Como Panda Patch Management, que fortalece las capacidades de prevención, contención y remediación de las amenazas y de reducción de la superficie de ataque, proporcionando visibilidad de la salud de los endpoints en tiempo real en cuanto a vulnerabilidades, parches o actualizaciones.
Otra medida vital es la protección del correo electrónico. Panda Email Protection proporciona protección multicapa para el correo de tu empresa contra todo tipo de malware y spam de forma proactiva y en tiempo real, gracias a los escaneos online que se realizan en los servidores de Panda Security. Esta tecnología de escaneo avanzado se realiza desde la nube y permite una gestión simplificada de la seguridad, pudiéndose realizar a cualquier hora y desde cualquier lugar con solo acceder a la consola web. Además dispone de Tecnología Cyren integrada, con antispam, reconocimiento de virus por patrones y listas de reputación que le permiten proporcionar la máxima protección.
De hecho, gracias a las tecnologías avanzadas de Adaptive Defense ninguno de nuestros clientes ha sido afectado por esta oleada de ataques. Demostrando ser la protección más eficaz contra esta realidad.
Una vez más, el modelo de seguridad de Panda Security basado en lógica contextual generada gracias técnicas de machine learning para revelar patrones de comportamiento malicioso y generar acciones de ciberdefensa avanzada contra amenazas conocidas y desconocidas ha evitado el ataque. Junto con la capacidad de registrar y clasificar absolutamente todos los procesos que se ejecutan en el endpoint, nos ofrece una visión extremadamente detallada de todo lo que ocurre en el parque informático.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
