ransomware

Un ransomware sacude a la productora de aluminio Hydro

El productor noruego de aluminios Hydro sufre un ataque ransomware, analizamos el incidente de seguridad

Alex Perekalin
21 Mar 2019

En los últimos años hemos descrito múltiples incidentes de ransomware dirigidos a organizaciones como hospitales, transporte público o computadoras del gobierno de todo un municipio. Más tarde aparecieron los borradores, con las epidemias WannaCry, ExPetr y Bad Rabbit que se expandieron por todo el mundo y arruinaron muchas operaciones comerciales.

Afortunadamente, no hemos presenciado ningún evento de semejante escala en los últimos 12 meses y no precisamente porque los ciberdelincuentes no lo hayan intentado. El 19 de marzo, Hydro, productor de aluminio alemán, anunció que un ransomware había afectado a toda la compañía.

¿Qué pasó?

El equipo de seguridad de Hydro detectó por primera vez actividad inusual en los servidores de la compañía a media noche, según el vocero de Hydro. Los especialistas vieron que la infección se estaba expandiendo e intentaron contenerla, pero solo lo consiguieron parcialmente, ya que, cuando aislaron las plantas, su red global ya estaba infectada. La empresa no ha revelado el número de computadoras afectadas, pero tomando en cuenta que trabajan 35000 personas para la compañía, lo más probable es que el número sea bastante elevado.

El equipo de Hydro está trabajando las 24 horas del día para mitigar el incidente con un éxito parcial. Las centrales eléctricas no se vieron afectas, pues estaban aisladas de la red principal, una muy buena práctica en infraestructuras críticas. Pero las plantas de fundición, cada vez más automatizadas, no lo estaban. Por tanto, algunas de estas plantas ubicadas en Noruega recibieron el ataque, pero el equipo consiguió que funcionaran, aunque en modo semimanual y mucho más lento. No obstante, Hydro afirma que “la incapacidad para conectarse a los sistemas de producción causó desafíos de producción y provocó paros temporales en varias plantas”.

A pesar de la gran escala, el ataque no destruyó por completo las operaciones de Hydro. Además, aunque todos los equipos con Windows acabaron cifrados e inutilizados, los teléfonos y tablets que no estaban equipados con este sistema operativo siguieron funcionando, lo cual permitió a los empleados comunicarse y responder a las necesidades comerciales. Más buenas noticias: la infraestructura, con bañeras para la producción de aluminio que cuestan unos 10 millones de euros cada una, no parece haberse visto afectada y nadie resultó herido durante el incidente. Además, Hydro espera que todo pueda volver a la normalidad gracias a las copias de seguridad.

Análisis: aciertos y errores

Lo más seguro es que Hydro se enfrente a un largo camino antes de poder restaurar todas las operaciones por completo, de hecho, ya solo la investigación del incidente llevará mucho tiempo y esfuerzo por parte de la compañía y de las autoridades noruegas, quienes por el momento no han llegado a un consenso sobre qué ransomware se ha utilizado para el ataque o quién lo inició.

Las autoridades afirman contar con múltiples hipótesis. Una de ellas es LockerGoga, al cual Bleeping Computer describe como “lento” (nuestras analistas coinciden con esta descripción) y “descuidado”, ya que “no se esfuerza por no ser detectado”. La nota de rescate no decía nada sobre la cifra requerida para desbloquear las computadoras, en su lugar, aparecía una dirección para que las víctimas se pusieran en contacto.

Aunque el análisis del incidente no está completo, ya podemos discutir las decisiones que ha tomado Hydro antes y durante el incidente.

Aciertos:

Las centrales eléctricas estaban aisladas de la red principal, por lo que no se vieron afectadas.
El equipo de seguridad consiguió aislar las plantas de fundición bastante rápido, por lo que pudieron seguir funcionando (aunque la mayoría en modo semimanual).
Los empleados pudieron seguir comunicándose normalmente incluso después del incidente, es decir, el servidor de comunicación estaba bien protegido, por lo que no se vio afectado por la infección.
Hydro cuenta con copias de seguridad que le permiten, en principio, restaurar los datos cifrados y continuar con las operaciones.
Hydro tiene un seguro que debería cubrir parte de los costes del incidente.

Errores:

Lo más seguro es que la red no se haya segmentado correctamente o, de lo contrario, habría sido mucho más fácil frenar la expansión del ransomware y contener el ataque.
La solución de seguridad no era lo suficientemente sólida como para interceptar el ransomware (por ejemplo, a pesar de ser relativamente nuevo, Kaspersky Endpoint Security conoce perfectamente LockerGoga, Trojan-Ransom.Win32.Crypgen.afbf).
Se podría haber completado la solución de seguridad con software antiransomware como nuestro Kaspersky Anti-Ransomware Tool gratuito, que se puede instalar junto con otras soluciones de seguridad y que es capaz de proteger el sistema de todo tipo de ransomware, mineros y demás ataques.

Ciberdelincuentes secuestran cuentas de Instagram con correos phishing

Los ciberdelincuentes utilizan correos phishing con notificación de falsa violación de derechos de autor para robar cuentas de Instagram.

Privacidad y niños

Soluciones Targeted Security

Otras soluciones

OTRA INDUSTRIA

OTROS PRODUCTOS

OTROS SERVICIOS

Un ransomware sacude a la productora de aluminio Hydro

¿Qué pasó?

Análisis: aciertos y errores

Aciertos:

Errores:

El ataque a MOVEit y sus consecuencias

Así blanquean los ciberdelincuentes las criptomonedas

Ciberdelincuentes secuestran cuentas de Instagram con correos phishing

Consejos

Un crypto-robo de 500 millones de dólares

Llueven bitcoin: giveaway falso de Nvidia

Browser-in-the-browser: una nueva técnica de phishing

¿Quieres invertir por internet? Ten primero en cuenta estos consejos de seguridad

Suscríbete y recibe nuestras publicaciones en tu correo

Soluciones para el hogar

Empresas pequeñas

Empresas medianas

Corporativo

Securelist

Eugene Personal Blog