{"id":14211,"date":"2019-03-21T10:37:04","date_gmt":"2019-03-21T16:37:04","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=14211"},"modified":"2019-11-22T02:50:47","modified_gmt":"2019-11-22T08:50:47","slug":"hydro-attacked-by-ransomware","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/hydro-attacked-by-ransomware\/14211\/","title":{"rendered":"Un ransomware sacude a la productora de aluminio Hydro"},"content":{"rendered":"

En los \u00faltimos a\u00f1os hemos descrito m\u00faltiples incidentes de ransomware<\/em> dirigidos a organizaciones como hospitales<\/a>, transporte p\u00fablico<\/a> o computadoras del gobierno de todo un municipio<\/a>. M\u00e1s tarde aparecieron los borradores, con las epidemias WannaCry<\/a>, ExPetr<\/a> y Bad Rabbit<\/a> que se expandieron por todo el mundo y arruinaron muchas operaciones comerciales.<\/p>\n

Afortunadamente, no hemos presenciado ning\u00fan evento de semejante escala en los \u00faltimos 12 meses y no precisamente porque los ciberdelincuentes no lo hayan intentado. El 19 de marzo, Hydro, productor de aluminio alem\u00e1n, anunci\u00f3 que un ransomware<\/a><\/em> hab\u00eda afectado a toda la compa\u00f1\u00eda.<\/p>\n

\u00bfQu\u00e9 pas\u00f3? <\/strong><\/h2>\n

El equipo de seguridad de Hydro detect\u00f3 por primera vez actividad inusual en los servidores de la compa\u00f1\u00eda a media noche, seg\u00fan el vocero de Hydro. Los especialistas vieron que la infecci\u00f3n se estaba expandiendo e intentaron contenerla, pero solo lo consiguieron parcialmente, ya que, cuando aislaron las plantas, su red global ya estaba infectada. La empresa no ha revelado el n\u00famero de computadoras afectadas, pero tomando en cuenta que trabajan 35000 personas para la compa\u00f1\u00eda, lo m\u00e1s probable es que el n\u00famero sea bastante elevado.<\/p>\n

El equipo de Hydro est\u00e1 trabajando las 24 horas del d\u00eda para mitigar el incidente con un \u00e9xito parcial. Las centrales el\u00e9ctricas no se vieron afectas, pues estaban aisladas de la red principal, una muy buena pr\u00e1ctica en infraestructuras cr\u00edticas. Pero las plantas de fundici\u00f3n, cada vez m\u00e1s automatizadas, no lo estaban. Por tanto, algunas de estas plantas ubicadas en Noruega recibieron el ataque, pero el equipo consigui\u00f3 que funcionaran, aunque en modo semimanual y mucho m\u00e1s lento. No obstante, Hydro afirma<\/a> que \u201cla incapacidad para conectarse a los sistemas de producci\u00f3n caus\u00f3 desaf\u00edos de producci\u00f3n y provoc\u00f3 paros temporales en varias plantas\u201d.<\/p>\n

A pesar de la gran escala, el ataque no destruy\u00f3 por completo las operaciones de Hydro. Adem\u00e1s, aunque todos los equipos con Windows acabaron cifrados e inutilizados, los tel\u00e9fonos y tablets que no estaban equipados con este sistema operativo siguieron funcionando, lo cual permiti\u00f3 a los empleados comunicarse y responder a las necesidades comerciales. M\u00e1s buenas noticias: la infraestructura, con ba\u00f1eras para la producci\u00f3n de aluminio que cuestan unos 10 millones de euros cada una, no parece haberse visto afectada y nadie result\u00f3 herido durante el incidente. Adem\u00e1s, Hydro espera que todo pueda volver a la normalidad gracias a las copias de seguridad.<\/p>\n

An\u00e1lisis: aciertos y errores<\/strong><\/h2>\n

Lo m\u00e1s seguro es que Hydro se enfrente a un largo camino antes de poder restaurar todas las operaciones por completo, de hecho, ya solo la investigaci\u00f3n del incidente llevar\u00e1 mucho tiempo y esfuerzo por parte de la compa\u00f1\u00eda y de las autoridades noruegas, quienes por el momento no han llegado a un consenso sobre qu\u00e9 ransomware<\/em> se ha utilizado para el ataque o qui\u00e9n lo inici\u00f3.<\/p>\n

Las autoridades afirman contar con m\u00faltiples hip\u00f3tesis. Una de ellas es LockerGoga, al cual Bleeping Computer describe<\/a> como \u201clento\u201d (nuestras analistas coinciden con esta descripci\u00f3n) y \u201cdescuidado\u201d, ya que \u201cno se esfuerza por no ser detectado\u201d. La nota de rescate no dec\u00eda nada sobre la cifra requerida para desbloquear las computadoras, en su lugar, aparec\u00eda una direcci\u00f3n para que las v\u00edctimas se pusieran en contacto.<\/p>\n

Aunque el an\u00e1lisis del incidente no est\u00e1 completo, ya podemos discutir las decisiones que ha tomado Hydro antes y durante el incidente.<\/p>\n

Aciertos: <\/strong><\/h2>\n
    \n
  1. Las centrales el\u00e9ctricas estaban aisladas de la red principal, por lo que no se vieron afectadas.<\/li>\n
  2. El equipo de seguridad consigui\u00f3 aislar las plantas de fundici\u00f3n bastante r\u00e1pido, por lo que pudieron seguir funcionando (aunque la mayor\u00eda en modo semimanual).<\/li>\n
  3. Los empleados pudieron seguir comunic\u00e1ndose normalmente incluso despu\u00e9s del incidente, es decir, el servidor de comunicaci\u00f3n estaba bien protegido, por lo que no se vio afectado por la infecci\u00f3n.<\/li>\n
  4. Hydro cuenta con copias de seguridad que le permiten, en principio, restaurar los datos cifrados y continuar con las operaciones.<\/li>\n
  5. Hydro tiene un seguro que deber\u00eda cubrir parte de los costes del incidente.<\/li>\n<\/ol>\n

    Errores: <\/strong><\/h2>\n
      \n
    1. Lo m\u00e1s seguro es que la red no se haya segmentado correctamente o, de lo contrario, habr\u00eda sido mucho m\u00e1s f\u00e1cil frenar la expansi\u00f3n del ransomware<\/em> y contener el ataque.<\/li>\n
    2. La soluci\u00f3n de seguridad no era lo suficientemente s\u00f3lida como para interceptar el ransomware<\/em> (por ejemplo, a pesar de ser relativamente nuevo,\u00a0Kaspersky Endpoint Security<\/a>\u00a0conoce perfectamente LockerGoga, Trojan-Ransom.Win32.Crypgen.afbf).<\/li>\n
    3. Se podr\u00eda haber completado la soluci\u00f3n de seguridad con software antiransomware<\/em> como nuestro\u00a0Kaspersky Anti-Ransomware Tool<\/a> gratuito, que se puede instalar junto con otras soluciones de seguridad y que es capaz de proteger el sistema de todo tipo de ransomware<\/em>, mineros y dem\u00e1s ataques.<\/li>\n<\/ol>\n

      \u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"

      El productor noruego de aluminios Hydro sufre un ataque ransomware, analizamos el incidente de seguridad <\/p>\n","protected":false},"author":675,"featured_media":14212,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,3540],"tags":[2613,1808,472],"class_list":{"0":"post-14211","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-cifradores","11":"tag-infraestructura-critica","12":"tag-ransomware"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/hydro-attacked-by-ransomware\/14211\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/hydro-attacked-by-ransomware\/15429\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/hydro-attacked-by-ransomware\/12994\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/hydro-attacked-by-ransomware\/17373\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/hydro-attacked-by-ransomware\/15522\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/hydro-attacked-by-ransomware\/18059\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/hydro-attacked-by-ransomware\/17052\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/hydro-attacked-by-ransomware\/22421\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/hydro-attacked-by-ransomware\/5803\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/hydro-attacked-by-ransomware\/26028\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/hydro-attacked-by-ransomware\/11536\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/hydro-attacked-by-ransomware\/11603\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/hydro-attacked-by-ransomware\/10489\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/hydro-attacked-by-ransomware\/18804\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/hydro-attacked-by-ransomware\/22817\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/hydro-attacked-by-ransomware\/23880\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/hydro-attacked-by-ransomware\/18119\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/hydro-attacked-by-ransomware\/22304\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/hydro-attacked-by-ransomware\/22236\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/14211","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/675"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=14211"}],"version-history":[{"count":6,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/14211\/revisions"}],"predecessor-version":[{"id":15878,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/14211\/revisions\/15878"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/14212"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=14211"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=14211"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=14211"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}