Pueblo de EU pagó rescate para poder seguir usando sus computadoras

0

Ilion, un pueblo del centro del estado de Nueva York, en Estados Unidos, pagó rescates de US$300 y US$500 para salvar sus computadoras de un programa informático malicioso.

El malware llegó por medio de dos correos electrónicos que parecían oficiales.

Al abrirlos, el programa se instaló en las computadoras municipales, bloqueándolas y pidiendo un rescate para poder volver a utilizarlas.

El ataque ocurrió el año pasado, pero la oficina del contralor del estado de Nueva York, ente encargado de examinar las cuentas y la legalidad de los gastos oficiales, informó de ello ahora, una vez finalizada la investigación.

El principal problema fue que el malware inabilitó los programas para gestionar las finanzas del municipio de 8.000 habitantes.

“La nómina, los sistemas de contabilidad del pueblo, todo estaba bloqueado”, explicó el alcade de la localidad, Terry Leonard, a la agencia de noticias AP.

Ransomware, el “secuestrador”

Este tipo de programas maliciosos se conocen como ransomware (de ransom, rescate en inglés).

Normalmente se transmiten tanto como un troyano, un software malicioso que se presenta al usuario como un programa aparentemente legítimo e inofensivo pero que al ejecutarlo brinda a un atacante acceso remoto al equipo infectado.

O también como un gusano, un malware que tiene la capacidad de duplicarse.

El malware llegó en dos correos electrónicos aparentemente oficiales.

El ransomware suele infectar el sistema operativo, ya sea descargando un archivo o explotando una vulnerabilidad de software.

Cuando ya está instalado en las computadoras, suele iniciarse automáticamente ycifra los archivos del usuario con una determinada clave que sólo el creador del malware conoce.

Y éste se lo proveerá al usuario a cambio del pago de un rescate.

Lea: ¿Cómo defenderse del falso video porno en Facebook que infecta tu computadora?

Además del correo electrónico, como en el caso de Ilion, este malware puede propagarse por puertos RDP que hayan quedado abiertos en internet, un sistema que hace los servidores Windows accesibles de manera remota.

También puede infectar archivos ubicados en discos externos, incluidas unidades de memoria USB o carpetas que se encuentran en la red o en la nube.

Normalmente se transmiten tanto como un troyano o un gusano.

Así, podría también cifrar por ejemplo una carpeta de Dropbox asignada de forma local.

La empresa de software de seguridad McAfee señaló que en el primer trimestre del 2013 ya había detectado más de 250.000 tipos de ransomware únicos, pero los más conocidos hoy son Cryptolocker, Reventon, Torrentlocker, o Cryptowall 3.0.

Archivos adjuntos maliciosos

No se ha dado a conocer cuál de estos “secuestró” las computadoras municipales de Ilion, pero sí cómo ocurrió.

De acuerdo a los auditores estatales encargados de la investigación, el archivo adjunto de un correo tradujo toda la información almacenada en el sistema a un formato encriptado ilegible.

Así que para revertirlo, en enero de 2014 el ayuntamiento de Ilion pagó el primer rescate, de US$300, con una tarjeta de crédito prepagada.

Inmediatamente después obtuvo una clave para descrifrar el encriptado.

El ransomwre cifra los archivos del usuario con una determinada clave que sólo su creador conoce. Y éste se lo proveerá al usuario a cambio del pago de un rescate.

Pero en mayo de ese año volvió a recibir otro correo, aparentemente oficial.

Al abrirlo se descargó otro malware que cifró otros archivos, obligando al ayuntamiento a pagar otro rescate de US$500.

“Aunque el monto no fue elevado y no se perdió información vital, el ataque muestra que la ausencia de salvaguardas básicas en relación a las tecnologías de la información puede ser costosa para los contribuyentes y afectar las operaciones diarias de los municipios”, advirtió el contralor del estado de Nueva York, Thomas DiNapoli, a la agencia AP.

Y señaló que entre las fallas de seguridad que identificó su oficina en el sistema informático del municipio había cuentas de usuarios de exempleados que no se habían cerrado.

También identificaron cuentas genéricas utilizadas por más de un individuo, la ausencia de un plan de respaldo de información en caso de incidentes de seguridad y la falta de actualización ante nuevas amenazas.

Ataques en España y Latinoamérica

A pesar de que detectaron estas fallas, no lograron identificar de dónde provino el ataque.

Los más conocidos hoy son Cryptolocker, Reventon, Torrentlocker, o Cryptowall 3.0.

Además, Ilion no ha sido la única municipalidad que sufrió un ataque conransomware. También enfrentaron una situación similar en Midlothian, un suburbio de Chicago, y en el condado de Lincoln, en Maine.

Pero más allá de EE.UU., en España cientos de ciudadanos recibieron en mayo un correo electrónico aparentemente de Correos, el servicio postal estatal, que avisaba de la entrega de un paquete.

Al abrirlo, sin embargo, hacía descargar código malicioso en las computadoras de los usuarios.

Y de acuerdo a la compañía de soluciones de seguridad ESET Latinoamérica, decenas de usuarios de la región sufrieron las consecuencias del ransowareCTB-Locker a principios de este año.

Ante esto, los expertos recomiendan evitar abrir archivos adjuntos de dudosa procedencia, habilitar las funcionalidades de filtrado de extensiones posiblemente maliciosas (como .exe o .scr), mantener actualizadas las soluciones de seguridad y hacer un respaldo de los datos de forma periódica.

Fuente: BBC

Comments are closed.