Tras las secuelas del peligroso ransomware Wannacry, esta semana saltaron las alarmas en Europa ante nuevos incidentes de seguridad contra las empresas Everis y SER, en España. Si bien aún no existen fuentes oficiales con el detalle de los indicadores de compromiso, el Observatorio de Amenazas de Widefense se encuentra atento ante cualquier novedad.
En ese sentido, desde el Equipo de Respuesta Ante Incidentes de Seguridad Informática (CSIRT), explican que, en el caso de Everis, la infección se propagó en varias de sus sucursales utilizando la red interna de la compañía y se vieron forzados a cerrar sus redes como medida de precaución.
Respecto a la cadena de radio SER, la más grande de España, se reportó un incidente similar, si bien aún no se ha determinado si ambos ataques están relacionados.
De acuerdo con información suministrada por dicha empresa, el ciberataque inició el lunes en la madrugada y, al igual que ocurrió en Everis, se vieron obligados a desconectar todos sus sistemas informáticos operativos, afectando a la programación local radial de Madrid. Se cree que que la infección es completa dentro de la red.
En la búsqueda de datos, el Observatorio de Amenazas de Widefense determinó que es posible que los malware Emotet, BitPaymer/IEncrypt y Ryuk estén involucrados, dado el comportamiento del ataque.
¿Cómo operan estos malware?
El troyano bancario Emotet ocupa el método de ingreso al equipo utilizando un correo con un DOC adjunto. Luego de ejecutar este archivo, comienza la descarga de componentes de internet y se realiza la ejecución de un script en Powershell con la amenaza.
BitPaymer/iEncrypt es un ransomware que comienza en muchos casos con correos maliciosos de phishing. Esta amenaza lleva ya tres años entre nosotros, siendo utilizado para ataques dirigidos contra empresas y variantes creadas para cada ocasión.
El Ransomware Ryuk realiza un estudio previo de la red víctima para luego activar la amenaza. Esto es provocado por el cifrado de ficheros usando RSA-2048 y AES-256 con claves que se almacenan en el ejecutable. El bloqueo afecta a ficheros, sistemas de almacenamiento(con llamadas como GetLogicalDrives) y máquinas remotas conectadas a la víctima (a través del protocolo ARP) y que acaban contagiándose con este malware. Ryuk tiene particularidades como la de incluir en una "lista blanca" una serie de ficheros y carpetas que no cifra, algo que permite mantener la estabilidad del anfitrión y atacar solo a aquellos ficheros sensibles. Van a lo importante, y logran un ataque persistente que hace que reiniciar el sistema no sirva de nada, por ejemplo.
Prevención en marcha
A raíz de las alarmas despertadas en España, en Widefense tomamos medidas preventivas sobre las plataformas de seguridad de nuestros clientes durante la noche de este martes 5 de noviembre y aplicamos bloqueos a los indicadores de compromiso que han sido relacionados a esta amenaza.
De igual manera, es importante tener en cuenta que ya diversas entidades en Europa se encuentran investigando si este ciberataque, dado su tamaño, puede o no afectarles. Desde el instituto Nacional de Ciberseguridad (Incibe) de España aseguran que están analizando el incidente y brindando asesoría a las empresas afectadas. Mientras tanto, desde Widefense, se mantiene el monitoreo sobre este evento.
¿Y qué se debe hacer ante una infección por Ransomware?
A manera general, les recordamos a nuestros lectores que el Ransomware es un código malicioso que hace inaccesibles los datos de un dispositivo y pide un “rescate” a cambio. En 2017, este tipo de ataque se hizo muy popular tras el caso del WannaCry. Por ello, es importante saber cómo funciona y qué hacer en caso de ser una víctima.
Lee más aquí. El dilema del Ransomware: ¿pagar o no pagar?
En caso de verse afectado por un código malicioso de este estilo, recomendamos fuertemente no pagar el rescate. No existen garantías de que los cibercriminales le devolverán el acceso a sus archivos y realizar el pago solo contribuiría a financiar futuras amenazas de este calibre.
Conversa con un especialista en ciberseguridad o agenda una asesoría para tu empresa a través del correo contacto@widefense.com o el teléfono (+562) 2816 9000.