Los ataques de ransomware son un gran negocio. Se calcula que, para fines de 2021, habrá habido una empresa afectada por esta clase de malware cada once segundos, y que el daño monetario de los ataques podría llegar a 20 000 millones de dólares. Pero el ransomware no es solamente un peligro para las empresas, los gobiernos, los centros médicos y demás organizaciones que son blanco de la agresión: es también un gran riesgo para los clientes y los empleados de esas entidades porque, a menudo, lo que queda en la línea de fuego es su información.
Un ataque de ransomware se basa en usar una aplicación maligna para cifrar los archivos de una víctima. Estos ataques no deben confundirse con lo que se denomina “campañas de extorsión”, que consisten en realizar un ataque distribuido de denegación de servicio (DDoS) para saturar a la víctima con un volumen de tráfico que no pueda procesar y exigirle el pago de una suma para poner fin a la agresión.
En ocasiones, las empresas que caen presas del ransomware optan por pagar el dinero que se les exige. No es lo recomendable: por un lado, no hay garantía de que el atacante restablezca el acceso al sistema infectado; por el otro, pagar es un modo de incentivar estos actos. No todas las organizaciones admiten haber sufrido un ataque y, de las que lo hacen, no todas revelan las exigencias del atacante.
En este artículo, daremos un vistazo a los ataques de ransomware más resonantes que ocurrieron entre enero y diciembre de 2020.
Los hackers iniciaron el nuevo año con un ataque a Travelex, una empresa de cambios de divisas, que se vio obligada a apagar todos sus sistemas y regresar al lápiz y el papel. El incidente forzó a la empresa a desactivar su sitio web en treinta países.
Los responsables del ataque, un grupo conocido por los nombres Sodinokibi y REvil, le exigieron a Travelex el pago de 6 millones de dólares. Los atacantes decían tener acceso a la red de la compañía desde hacía 6 meses y aseguraban que, en ese período, se habían alzado con unos 5 GB de información confidencial sobre sus clientes, como sus fechas de nacimiento y los números de sus tarjetas de crédito. Si Travelex pagaba el rescate, los hackers eliminarían esa información; de lo contrario, duplicarían el monto del rescate. Sus exigencias volverían a duplicarse cada dos días. Tras siete días, venderían la información a otros delincuentes.
Según trascendidos, Travelex pagó 2.3 millones de dólares en bitcoins al grupo y logró reactivar sus sistemas tras dos semanas de inactividad. En agosto de 2020, la empresa se declaró insolvente; culpó de ello al efecto combinado del ataque de ransomware y la pandemia de coronavirus.
En el Día de San Valentín, el grupo INA sufrió un ciberataque que inhabilitó parte de sus operaciones comerciales. INA es la petrolera más importante de Croacia y maneja también la mayor cadena de estaciones de servicio de ese país. El ciberataque consistió en una infección de ransomware que cifró el contenido de algunos servidores internos de la empresa.
Aunque el incidente no interrumpió el expendio de gasolina, sí afectó la capacidad de la empresa para generar recibos, permitir ciertos pagos, emitir nuevos vales móviles o registrar el uso de las tarjetas de beneficios.
Según lo informado, el ransomware utilizado en el ataque pertenecía a la familia Clop. Este “ransomware de las grandes ligas”, como lo denominan algunos especialistas en seguridad, está controlado por un grupo que se enfoca en infectar redes empresariales, cifrar la información que encuentran y exigir rescates exorbitantes.
En marzo, se supo que Communications & Power Industries (CPI), un gigante de la fabricación de productos electrónicos, había sido blanco de un ataque de ransomware.
La empresa, con sede en California, fabrica componentes para dispositivos y equipos militares; uno de sus clientes es el Departamento de Defensa de los Estados Unidos. El ataque comenzó cuando, al hacer clic en un vínculo malicioso, uno de los administradores del dominio de CPI activó un cifrador de archivos maligno. CPI tenía miles de sus computadoras asociadas a un mismo gran dominio, por lo que el ransomware pudo propagarse rápidamente por las distintas oficinas y logró infectar, inclusive, las copias de seguridad locales.
Se ha dicho que CPI pagó una suma de 500 000 dólares en respuesta al ataque. Se desconoce cuál fue la clase de ransomware utilizada.
En abril, se supo que el gigante de la electricidad Energias de Portugal (EDP) había sido víctima de un ataque. Un grupo de delincuentes logró cifrar los sistemas de la empresa utilizando el ransomware Ragnar Locker y exigió el pago de casi 10 millones de dólares.
Los atacantes aseguraban tener más de 10 TB de información confidencial y amenazaban con divulgarla si la empresa no pagaba el rescate. Para demostrar que contaban con esa información, publicaron capturas de algunos de los archivos en un sitio dedicado a las filtraciones de datos. Entre los datos robados había, supuestamente, detalles privados vinculados a la facturación, los contratos, los clientes y los asociados de la empresa.
Voceros de la empresa confirmaron que había ocurrido un ataque, pero sostuvieron que no había prueba alguna de que los hackers hubieran accedido a información confidencial sobre sus clientes. No obstante ello, atendiendo a la posibilidad de que se comprobara una filtración en el futuro, EDP ofreció a sus afiliados un año sin costo de un servicio de protección de la identidad provisto por Experian.
En mayo, el bufete neoyorquino Grubman Shire Meiselas & Sacks, un estudio de abogados que atiende a famosos como Madonna, Elton John y Robert De Niro, fue blanco de un ataque con el ransomware REvil/Sodinokibi.
Los atacantes lograron alzarse con distintas clases de información personal, como números de teléfono, direcciones de correo electrónico, comunicaciones privadas, acuerdos de confidencialidad y contratos. Bajo amenaza de divulgar esta información en nueve “entregas” sucesivas, los delincuentes exigieron el pago de 21 millones de dólares en rescates. La suma exigida se duplicó luego de que los abogados se negaran a pagar.
Según trascendió, entre los famosos afectados por el incidente se encuentran Bruce Springsteen, Lady Gaga, Nicki Minaj, Mariah Carey y Mary J. Blige. Los titulares del bufete rehusaron negociar con los atacantes y solicitaron ayuda al FBI.
En junio, el gigante automotriz Honda sufrió un ataque en el que se utilizó el ransomware Snake (también conocido como Ekans). El incidente afectó a varias de sus oficinas en los Estados Unidos, Europa y Japón. La empresa tuvo que frenar la producción en algunas regiones para lidiar con la infección de su red informática. Los atacantes utilizaron el ransomware para introducirse en uno de los servidores internos de la automotriz y cifrar su información. Luego le exigieron a Honda el pago de un rescate a cambio de la clave de descifrado. Según fuentes de la empresa, los atacantes no demostraron en modo alguno que hubieran accedido a información personal.
En julio de 2020, la empresa de telecomunicaciones francesa Orange fue blanco de un ataque con el ransomware Nefilim. Orange es el cuarto operador móvil más grande de Europa. El incidente afectó su división de servicios empresariales. Para el 15 de julio, la vulneración de datos figuraba en la web oscura, en un sitio perteneciente a Nefilim. Los responsables del ataque cargaron un archivo de 339 MB con muestras de datos que, según ellos, pertenecían a los clientes de la compañía.
Los operadores de Nefilim son relativamente nuevos; se los vio por primera vez en 2020. De acuerdo con Orange, los datos filtrados corresponden a unos veinte clientes corporativos de su división de servicios para empresas.
En agosto, se supo que la Universidad de Utah había pagado un rescate de 457 000 dólares a un grupo de ciberdelincuentes para evitar la publicación de una serie de archivos confidenciales, sustraídos a raíz de un ataque de ransomware. El ataque afectó algunos servidores de la Facultad de Ciencias Sociales y Ciencias del Comportamiento de la universidad. Los delincuentes cifraron el contenido de estos servidores. Antes de ello, sin embargo, hicieron copias de los archivos en su formato original.
El “botín” con el que se alzaron los hackers constaba de información sobre los alumnos y empleados de la universidad. El rescate se pagó para evitar que esta información se filtrara. A pesar de esta precaución, se les recomendó a los alumnos y empleados de la facultad afectada que cambiaran las contraseñas de sus servicios en línea y que se mantuvieran alertas a movimientos sospechosos en su historial crediticio.
En el mes de septiembre, surgieron reportes de que K-Electric (única proveedora de electricidad en Karachi, Pakistán) había sido víctima de un ataque con el ransomware NetWalker. El incidente dejó inhabilitados los sistemas de facturación y los servicios en línea de la empresa.
Los operadores del ransomware le exigieron a K-Electric el pago de 3.85 millones de dólares y advirtieron que, de no recibir el dinero en un plazo de siete días, llevarían sus exigencias a 7.7 millones. Los delincuentes publicaron un archivo comprimido de 8.5 GB que contenía datos financieros, detalles de clientes y otros archivos supuestamente robados durante el ataque.
K-Electric no fue la primera víctima de NetWalker: se sabe de ataques anteriores sufridos por la Dirección Nacional de Migraciones de Argentina, distintas agencias del gobierno estadounidense y la Universidad de California en San Francisco (esta última pagó un rescate de más de un millón de dólares).
Aunque K-Electric reconoció haber sufrido un problema de seguridad informática, aseguró que todos los servicios esenciales para sus clientes estuvieron siempre en funcionamiento.
En octubre, la agencia de noticias Press Trust of India (PTI) sufrió una intrusión en sus servidores y se vio impedida de brindar servicios durante horas. El problema, según la agencia, se debió a un ataque de ransomware de gran seriedad, que afectó sus operaciones y paralizó la distribución de noticias a sus suscriptores, ubicados a lo largo y ancho del país.
El ransomware utilizado en el ataque fue LockBit, el cual está diseñado para impedir el uso de un sistema informático y pedir el pago de un rescate a cambio de devolver el control.
En noviembre, el Tribunal Superior de Justicia de Brasil sufrió un serio ataque de ransomware que afectó su infraestructura de TI y dejó fuera de servicio su sitio web.
Los atacantes le aseguraron al Tribunal que habían cifrado la totalidad de su base de datos y que todo intento de descifrarla sería en vano. En la nota de rescate que dejaron, los hackers le ofrecieron al Tribunal una dirección de correo electrónico de ProtonMail para estar en contacto. Se sabe que los responsables de este incidente también intentaron atacar otros sitios web relacionados con el gobierno de Brasil.
En diciembre, GenRx Pharmacy, una organización del cuidado de la salud con sede en Arizona, tuvo que advertir a cientos de miles de pacientes sobre una posible filtración de sus datos tras un ataque de ransomware ocurrido algún tiempo atrás ese mismo año. Según fuentes de la empresa, los responsables del ataque se alzaron con un número de archivos que, entre otros datos, contenían información utilizada para procesar las recetas de los pacientes y enviarles los productos necesarios.
En los últimos tiempos, los ataques de ransomware se han vuelto más selectivos en términos de quiénes son las víctimas y a cuánto ascienden los rescates. La herramienta Kaspersky Anti-Ransomware Tool ofrece protección para el hogar y para la empresa. Como con cualquier amenaza informática, la clave para mantenerse a salvo es mantener los ojos bien abiertos.
Artículos relacionados: