Ransomware: los ataques más resonantes
Los ataques de ransomware son un gran negocio. Se calcula que, para fines de 2021, habrá habido una empresa afectada por esta clase de malware cada once segundos, y que el daño monetario de los ataques podría llegar a 20 000 millones de dólares. Pero el ransomware no es solamente un peligro para las empresas, los gobiernos, los centros médicos y demás organizaciones que son blanco de la agresión: es también un gran riesgo para los clientes y los empleados de esas entidades porque, a menudo, lo que queda en la línea de fuego es su información.
Un ataque de ransomware se basa en usar una aplicación maligna para cifrar los archivos de una víctima. Estos ataques no deben confundirse con lo que se denomina “campañas de extorsión”, que consisten en realizar un ataque distribuido de denegación de servicio (DDoS) para saturar a la víctima con un volumen de tráfico que no pueda procesar y exigirle el pago de una suma para poner fin a la agresión.
En ocasiones, las empresas que caen presas del ransomware optan por pagar el dinero que se les exige. No es lo recomendable: por un lado, no hay garantía de que el atacante restablezca el acceso al sistema infectado; por el otro, pagar es un modo de incentivar estos actos. No todas las organizaciones admiten haber sufrido un ataque y, de las que lo hacen, no todas revelan las exigencias del atacante.
En este artículo, daremos un vistazo a los ataques de ransomware más resonantes que ocurrieron entre enero y diciembre de 2020.
Ataques de ransomware en enero de 2020
1. Ataque de ransomware a Travelex
Los hackers iniciaron el nuevo año con un ataque a Travelex, una empresa de cambios de divisas, que se vio obligada a apagar todos sus sistemas y regresar al lápiz y el papel. El incidente forzó a la empresa a desactivar su sitio web en treinta países.
Los responsables del ataque, un grupo conocido por los nombres Sodinokibi y REvil, le exigieron a Travelex el pago de 6 millones de dólares. Los atacantes decían tener acceso a la red de la compañía desde hacía 6 meses y aseguraban que, en ese período, se habían alzado con unos 5 GB de información confidencial sobre sus clientes, como sus fechas de nacimiento y los números de sus tarjetas de crédito. Si Travelex pagaba el rescate, los hackers eliminarían esa información; de lo contrario, duplicarían el monto del rescate. Sus exigencias volverían a duplicarse cada dos días. Tras siete días, venderían la información a otros delincuentes.
Según trascendidos, Travelex pagó 2.3 millones de dólares en bitcoins al grupo y logró reactivar sus sistemas tras dos semanas de inactividad. En agosto de 2020, la empresa se declaró insolvente; culpó de ello al efecto combinado del ataque de ransomware y la pandemia de coronavirus.
Cabe destacar otros ataques registrados en este mes:
- Los estudiantes del distrito escolar unificado de Pittsburgh (Pensilvania) quedaron sin acceso a Internet debido a un ataque de ransomware que inhabilitó los sistemas informáticos del distrito durante un período de vacaciones.
- En la ciudad de Miramar (Florida), un ciberdelincuente amenazó a los pacientes de un centro de salud con revelar sus registros médicos si se negaban a pagar una suma de dinero.
Ataques de ransomware en febrero de 2020
2. Ataque de ransomware al grupo INA
En el Día de San Valentín, el grupo INA sufrió un ciberataque que inhabilitó parte de sus operaciones comerciales. INA es la petrolera más importante de Croacia y maneja también la mayor cadena de estaciones de servicio de ese país. El ciberataque consistió en una infección de ransomware que cifró el contenido de algunos servidores internos de la empresa.
Aunque el incidente no interrumpió el expendio de gasolina, sí afectó la capacidad de la empresa para generar recibos, permitir ciertos pagos, emitir nuevos vales móviles o registrar el uso de las tarjetas de beneficios.
Según lo informado, el ransomware utilizado en el ataque pertenecía a la familia Clop. Este “ransomware de las grandes ligas”, como lo denominan algunos especialistas en seguridad, está controlado por un grupo que se enfoca en infectar redes empresariales, cifrar la información que encuentran y exigir rescates exorbitantes.
Cabe destacar otros ataques registrados en este mes:
- Se registró un ataque a NRC Health, una empresa del sector de la salud que trabaja con un 75 % de los 200 centros médicos más grandes de los Estados Unidos. La empresa se vio obligada a apagar sus sistemas, incluidos los portales con los que interactúan sus clientes, para mitigar los daños de la vulneración. NRC Health manejaba información de todo tipo, desde datos vinculados a los salarios de sus empleados hasta información sobre reembolsos asociados a programas de cobertura médica.
Ataques de ransomware en marzo de 2020
3. Ataque de ransomware a Communications & Power Industries
En marzo, se supo que Communications & Power Industries (CPI), un gigante de la fabricación de productos electrónicos, había sido blanco de un ataque de ransomware.
La empresa, con sede en California, fabrica componentes para dispositivos y equipos militares; uno de sus clientes es el Departamento de Defensa de los Estados Unidos. El ataque comenzó cuando, al hacer clic en un vínculo malicioso, uno de los administradores del dominio de CPI activó un cifrador de archivos maligno. CPI tenía miles de sus computadoras asociadas a un mismo gran dominio, por lo que el ransomware pudo propagarse rápidamente por las distintas oficinas y logró infectar, inclusive, las copias de seguridad locales.
Se ha dicho que CPI pagó una suma de 500 000 dólares en respuesta al ataque. Se desconoce cuál fue la clase de ransomware utilizada.
Cabe destacar otros ataques registrados en este mes:
- El centro médico Hammersmith, ubicado en la ciudad de Londres, sufrió un ataque del grupo de ransomware Maze. El centro se dedica a realizar pruebas clínicas iniciales para vacunas y fármacos. Días antes del ataque, el grupo Maze se había comprometido a no atacar a ninguna organización de investigación médica durante la pandemia del coronavirus. Las autoridades del centro se negaron a pagar el rescate; el grupo, en respuesta, hizo públicos los datos personales de miles de antiguos pacientes. Malcolm Boyce, director de la institución, aseguró ante los medios que prefería cerrar el centro a pagar un rescate.
Ataques de ransomware en abril de 2020
4. Ataque de ransomware a Energias de Portugal
En abril, se supo que el gigante de la electricidad Energias de Portugal (EDP) había sido víctima de un ataque. Un grupo de delincuentes logró cifrar los sistemas de la empresa utilizando el ransomware Ragnar Locker y exigió el pago de casi 10 millones de dólares.
Los atacantes aseguraban tener más de 10 TB de información confidencial y amenazaban con divulgarla si la empresa no pagaba el rescate. Para demostrar que contaban con esa información, publicaron capturas de algunos de los archivos en un sitio dedicado a las filtraciones de datos. Entre los datos robados había, supuestamente, detalles privados vinculados a la facturación, los contratos, los clientes y los asociados de la empresa.
Voceros de la empresa confirmaron que había ocurrido un ataque, pero sostuvieron que no había prueba alguna de que los hackers hubieran accedido a información confidencial sobre sus clientes. No obstante ello, atendiendo a la posibilidad de que se comprobara una filtración en el futuro, EDP ofreció a sus afiliados un año sin costo de un servicio de protección de la identidad provisto por Experian.
Cabe destacar otros ataques registrados en este mes:
- Cognizant, empresa de la lista Fortune 500 que brinda servicios de TI a compañías de distintos sectores, reconoció que había sido víctima de un ataque de ransomware. El ataque afectó sus sistemas internos e hizo desaparecer su directorio privado, lo que afectó la prestación de servicios. A fines de julio, en un informe financiero sobre el segundo trimestre de 2020, Cognizant admitió que los ingresos de sus áreas comerciales habían bajado un 3.4 % en total, hasta ubicarse en torno a los 4 000 millones de dólares. Esta merma se debió, en parte, al ataque de ransomware ocurrido en abril.
Ataques de ransomware en mayo de 2020
5. Ataque de ransomware a Grubman Shire Meiselas & Sacks
En mayo, el bufete neoyorquino Grubman Shire Meiselas & Sacks, un estudio de abogados que atiende a famosos como Madonna, Elton John y Robert De Niro, fue blanco de un ataque con el ransomware REvil/Sodinokibi.
Los atacantes lograron alzarse con distintas clases de información personal, como números de teléfono, direcciones de correo electrónico, comunicaciones privadas, acuerdos de confidencialidad y contratos. Bajo amenaza de divulgar esta información en nueve “entregas” sucesivas, los delincuentes exigieron el pago de 21 millones de dólares en rescates. La suma exigida se duplicó luego de que los abogados se negaran a pagar.
Según trascendió, entre los famosos afectados por el incidente se encuentran Bruce Springsteen, Lady Gaga, Nicki Minaj, Mariah Carey y Mary J. Blige. Los titulares del bufete rehusaron negociar con los atacantes y solicitaron ayuda al FBI.
Cabe destacar otros ataques registrados en este mes:
- La Universidad Estatal de Michigan sufrió una infección con el ransomware NetWalker (también llamado Mailto). NetWalker es una variedad de ransomware que hizo su debut delictivo en agosto de 2019. Los atacantes le dieron a la universidad una semana para pagar un rescate y recuperar el acceso a sus archivos. Los hackers dijeron que, de no recibir el pago, filtrarían los datos personales y bancarios de los alumnos. La universidad se negó a pagar el rescate, supuestamente a instancias de las autoridades.
Ataques de ransomware en junio de 2020
6. Ataque de ransomware a Honda
En junio, el gigante automotriz Honda sufrió un ataque en el que se utilizó el ransomware Snake (también conocido como Ekans). El incidente afectó a varias de sus oficinas en los Estados Unidos, Europa y Japón. La empresa tuvo que frenar la producción en algunas regiones para lidiar con la infección de su red informática. Los atacantes utilizaron el ransomware para introducirse en uno de los servidores internos de la automotriz y cifrar su información. Luego le exigieron a Honda el pago de un rescate a cambio de la clave de descifrado. Según fuentes de la empresa, los atacantes no demostraron en modo alguno que hubieran accedido a información personal.
Cabe destacar otros ataques registrados en este mes:
- Columbia College Chicago sufrió un ataque de parte del grupo de ransomware NetWalker. En este caso, los hackers le dieron a la institución educativa un plazo de seis días para pagar un rescate bajo amenaza de poner información sobre los estudiantes a la venta en la web oscura. La institución admitió que los atacantes tuvieron acceso a la información personal de algunos usuarios, pero no está claro si pagaron el rescate o negociaron con los hackers.
Ataques de ransomware en julio de 2020
7. Ataque de ransomware a Orange
En julio de 2020, la empresa de telecomunicaciones francesa Orange fue blanco de un ataque con el ransomware Nefilim. Orange es el cuarto operador móvil más grande de Europa. El incidente afectó su división de servicios empresariales. Para el 15 de julio, la vulneración de datos figuraba en la web oscura, en un sitio perteneciente a Nefilim. Los responsables del ataque cargaron un archivo de 339 MB con muestras de datos que, según ellos, pertenecían a los clientes de la compañía.
Los operadores de Nefilim son relativamente nuevos; se los vio por primera vez en 2020. De acuerdo con Orange, los datos filtrados corresponden a unos veinte clientes corporativos de su división de servicios para empresas.
Cabe destacar otros ataques registrados en este mes:
- En agosto, el gobierno de Lafayette (Colorado) reconoció que había pagado 45 000 dólares a un grupo de ransomware a raíz de una infección que dejó cifrada la información de los dispositivos pertenecientes a la ciudad. El pago, que se hizo a cambio de una clave de descifrado, se volvió necesario porque los sistemas afectados no pudieron restaurarse utilizando copias de seguridad. El gobierno optó por pagar para evitar que los vecinos sufrieran una interrupción de servicios prolongada. Aunque los funcionarios de la ciudad no revelaron el tipo de ransomware involucrado, se sabe que la infección deshabilitó los sistemas de red municipales. Ello impactó en los sistemas de pagos en línea, los servidores de correo electrónico, los servicios telefónicos y más. Se cree que el ataque tuvo origen en un engaño de phishing o en un ataque de fuerza bruta.
Ataques de ransomware en agosto de 2020
8. Ataque de ransomware a la Universidad de Utah
En agosto, se supo que la Universidad de Utah había pagado un rescate de 457 000 dólares a un grupo de ciberdelincuentes para evitar la publicación de una serie de archivos confidenciales, sustraídos a raíz de un ataque de ransomware. El ataque afectó algunos servidores de la Facultad de Ciencias Sociales y Ciencias del Comportamiento de la universidad. Los delincuentes cifraron el contenido de estos servidores. Antes de ello, sin embargo, hicieron copias de los archivos en su formato original.
El “botín” con el que se alzaron los hackers constaba de información sobre los alumnos y empleados de la universidad. El rescate se pagó para evitar que esta información se filtrara. A pesar de esta precaución, se les recomendó a los alumnos y empleados de la facultad afectada que cambiaran las contraseñas de sus servicios en línea y que se mantuvieran alertas a movimientos sospechosos en su historial crediticio.
Cabe destacar otros ataques registrados en este mes:
- R1 RCM Inc.fue blanco de un ataque de ransomware. Esta empresa, que antes se denominaba Accretive Health Inc., es una de las agencias de cobro de deudas médicas más grandes de los Estados Unidos. R1 RCM Inc. presta servicio a más de 750 organizaciones de la salud estadounidenses y maneja información médica y personal de más de diez millones de pacientes. La empresa no dio detalles sobre la vulneración, por lo que se desconoce qué sistemas y qué información se vieron afectados. Se ha informado, sin embargo, que el ransomware utilizado en el ataque fue Defray, un tipo de malware dirigido que normalmente se propaga a través de correos electrónicos fraudulentos.
Ataques de ransomware en septiembre de 2020
9. Ataque de ransomware a K-Electric
En el mes de septiembre, surgieron reportes de que K-Electric (única proveedora de electricidad en Karachi, Pakistán) había sido víctima de un ataque con el ransomware NetWalker. El incidente dejó inhabilitados los sistemas de facturación y los servicios en línea de la empresa.
Los operadores del ransomware le exigieron a K-Electric el pago de 3.85 millones de dólares y advirtieron que, de no recibir el dinero en un plazo de siete días, llevarían sus exigencias a 7.7 millones. Los delincuentes publicaron un archivo comprimido de 8.5 GB que contenía datos financieros, detalles de clientes y otros archivos supuestamente robados durante el ataque.
K-Electric no fue la primera víctima de NetWalker: se sabe de ataques anteriores sufridos por la Dirección Nacional de Migraciones de Argentina, distintas agencias del gobierno estadounidense y la Universidad de California en San Francisco (esta última pagó un rescate de más de un millón de dólares).
Aunque K-Electric reconoció haber sufrido un problema de seguridad informática, aseguró que todos los servicios esenciales para sus clientes estuvieron siempre en funcionamiento.
Cabe destacar otros ataques registrados en este mes:
- La Corte del Cuarto Distrito de Luisiana fue víctima de un ataque de ransomware que afectó su sitio web y dejó una serie de documentos confidenciales expuestos en Internet. El ataque se realizó con Conti, una variedad de ransomware relativamente nueva. Los documentos sustraídos, que los hackers publicaron en su sitio de la web oscura, trataban sobre jurados, acusados y testigos vinculados a juicios en curso.
Ataques de ransomware en octubre de 2020
10. Ataque de ransomware a Press Trust of India
En octubre, la agencia de noticias Press Trust of India (PTI) sufrió una intrusión en sus servidores y se vio impedida de brindar servicios durante horas. El problema, según la agencia, se debió a un ataque de ransomware de gran seriedad, que afectó sus operaciones y paralizó la distribución de noticias a sus suscriptores, ubicados a lo largo y ancho del país.
El ransomware utilizado en el ataque fue LockBit, el cual está diseñado para impedir el uso de un sistema informático y pedir el pago de un rescate a cambio de devolver el control.
Cabe destacar otros ataques registrados en este mes:
- Software AG, una de las empresas de software más grandes del mundo, fue atacada por el grupo de ransomware Clop. En este caso, los atacantes exigieron un rescate de más de 20 millones de dólares. Tras una serie de negociaciones fallidas, el grupo publicó capturas de la información sustraída en la web oscura. Entre las imágenes había escaneos de pasaportes e identificaciones de empleados, correos electrónicos intercambiados por el personal, documentos financieros y directorios de la red interna de la empresa.
Ataques de ransomware en noviembre de 2020
11. Ataque de ransomware al Tribunal Superior de Justicia de Brasil
En noviembre, el Tribunal Superior de Justicia de Brasil sufrió un serio ataque de ransomware que afectó su infraestructura de TI y dejó fuera de servicio su sitio web.
Los atacantes le aseguraron al Tribunal que habían cifrado la totalidad de su base de datos y que todo intento de descifrarla sería en vano. En la nota de rescate que dejaron, los hackers le ofrecieron al Tribunal una dirección de correo electrónico de ProtonMail para estar en contacto. Se sabe que los responsables de este incidente también intentaron atacar otros sitios web relacionados con el gobierno de Brasil.
Cabe destacar otros ataques registrados en este mes:
- El Manchester United Football Club acaparó los titulares cuando se supo que había sido blanco de un ciberataque (se confirmó más tarde que el incidente había sido un ataque de ransomware). Fuentes del club confiaron que el ataque había sido altamente sofisticado, pero que los protocolos y procedimientos dispuestos para responder a estas situaciones habían permitido hacer frente a la agresión. Las defensas del Manchester identificaron el ataque y apagaron los sistemas afectados para proteger la información y minimizar los daños.
Ataques de ransomware en diciembre de 2020
12. Ataque de ransomware a GenRx Pharmacy
En diciembre, GenRx Pharmacy, una organización del cuidado de la salud con sede en Arizona, tuvo que advertir a cientos de miles de pacientes sobre una posible filtración de sus datos tras un ataque de ransomware ocurrido algún tiempo atrás ese mismo año. Según fuentes de la empresa, los responsables del ataque se alzaron con un número de archivos que, entre otros datos, contenían información utilizada para procesar las recetas de los pacientes y enviarles los productos necesarios.
Cabe destacar otros ataques registrados en este mes:
- El gigante de los electrodomésticos Whirlpool sufrió un ataque de ransomware en el mes de diciembre. Los atacantes (el grupo Nefilim) cifraron dispositivos pertenecientes a la empresa tras hacer copias de la información que contenían. Entre la información robada —y luego publicada— había documentos sobre los beneficios disponibles para los empleados de la empresa, solicitudes de información médica y revisiones de antecedentes.
En los últimos tiempos, los ataques de ransomware se han vuelto más selectivos en términos de quiénes son las víctimas y a cuánto ascienden los rescates. La herramienta Kaspersky Anti-Ransomware Tool ofrece protección para el hogar y para la empresa. Como con cualquier amenaza informática, la clave para mantenerse a salvo es mantener los ojos bien abiertos.
Artículos relacionados:
Ransomware: los ataques más resonantes
Kaspersky
