Ransomware y otros bichos

Antes de explicar el concepto de ransomware, nos parece muy relevante compartirles sobre el malware y la relación con este «bicho». Desde el inicio de los sistemas informáticos hemos estado luchando con el malware. Se llama así porque el término hace referencia a “malicious-software” o software malicioso, es decir, el malware es una pieza de código que tiene como objetivo generar un daño en el sistema del usuario. ¿Qué tipo de daño? Existen un sinfín de perjuicios que van desde degradar el desempeño del equipo, robar nuestra información, tomar el control de nuestros equipos, espiarnos o hasta secuestrar nuestros datos.

Dependiendo del modus-operandi y de la forma de infección, existen distintos tipos de «bichos». Es como un zoológico donde todos forman parte de la misma familia: el malware.

¿Qué tipo de bichos digitales podemos encontrar?

En esta familia del malware hay varios «primos»: virus, troyanos, adware, spyware, backdoors, key loggers, gusanos, stealers, y por supuesto no podría faltar el ransomware.

¿Y qué es el ransomware? Pues bien, el ransomware es un tipo de malware que tiene como objetivo “secuestrar” nuestros datos o incluso literalmente el acceso a nuestra computadora, nuestros dispositivos móviles o hasta nuestros dispositivos inteligentes , y el cual para tenerlo de regreso nos requiere un pago, ¡un “rescate”!

Ojo, cualquier dispositivo que esté conectado a Internet puede ser afectado y eso incluye los electrodomésticos, los Smart TV, las cámaras y todo dispositivo de ese maravilloso pero muy riesgoso mundo del IoT (Internet de las Cosas).

¿Qué tipos de ransomware existen?

Si bien existen peculiaridades y diferentes perspectivas, podemos hablar de dos grandes tipos:

  1. Secuestro del dispositivo, el cual consiste en bloquear el acceso al dispositivo, mostrando un mensaje alarmante en la pantalla que simula tener un origen de alguna entidad oficial, como puede ser alguna autoridad. El mensaje busca engañar a los usuarios advirtiéndoles que han hecho un uso inadecuado del sistema o incluso que han cometido un delito, y por lo tanto deben pagar una multa.
  2. Secuestro de archivos, que consiste en cifrar los archivos, presentando un mensaje en pantalla indicando que solo se podrá recuperar el acceso hasta pagar por ello, lo cual habitualmente se realiza en criptomonedas que hacen muy compleja la trazabilidad, es decir, no sabemos a quién le estamos pagando ni dónde se encuentra. Con ese pago, recibimos la clave de descifrado y/o el programa para lograrlo, situación que de ninguna manera está garantizada.

«Ransomware solo afecta a grandes corporativos»

¡No seas ingenuo! Todos podemos ser víctimas, desde la NASA hasta los ciudadanos «de a pie» como tú o como yo.

¿Cómo llega este malware a nuestro equipo?

Existen diversas formas en las que este peculiar bicho puede alcanzar a nuestros dispositivos, una de las maneras más comunes es a través de un troyano -otro tipo de malware- conocido como «downloader«, que es un programa que aparenta no tener ningún efecto malicioso, e incluso muchos antivirus no lo suelen detectar, sin embargo, en el momento en que se ejecuta tiene como único objetivo descargar la amenaza que se encargará de realizar el trabajo sucio.

Nos podemos encontrar fácilmente con estos downloaders en archivos que descargamos de Internet de fuentes no confiables, como son juegos, películas o aplicaciones. También es frecuente encontrarlos cuando caemos en las trampas de la publicidad maliciosa para este tipo de descargas ilegales. En nuestras actividades laborales podemos tropezarnos con downloaders en adjuntos en el correo electrónico o en archivos de Office con macros, o sea que están por todos lados, ¡así que mucho cuidado!

Recomendaciones

  • ¡Respalda! Periódicamente y en dispositivos que mantengas desconectados habitualmente del sistema ¡No se te vayan a cifrar también los respaldos! Ojo, eso incluye también la nube.
  • Limita las cuentas de administrador solo para actividades sustantivas que así lo requieran (configuraciones, cambios, instalaciones, gestión de usuarios), para lo demás utiliza cuentas con permisos limitados.
  • Mantén tus sistemas actualizados e instala software de seguridad de protección específica para estas amenazas, idealmente tanto en el endpoint como en la red.
  • Activa la visualización de las extensiones de los archivos, no caigas en la trampa de archivos con iconos diferentes a lo que realmente son. Sucede mucho con iconos de archivos comprimidos (.zip, .rar). No hagas clic en archivos ejecutables o de macros (.exe, .src, .vbs).
  • ¡Respalda!
  • ¡No te confíes! Mantén prácticas de higiene digital, usa contraseñas robustas, no descargues aplicaciones de fuentes sospechosas, no instales aplicaciones ilegales, no navegues en sitios inseguros, no te conectes en redes no confiables, ¡piensa antes de hacer clic en enlaces o ejecutar archivos!
  • Deshabilita la reproducción automática de archivos cuando conectas medios extraíbles a tus equipos, como discos duros o memorias USB.
  • ¿Ya dije que respaldes?

Provehito in altum
Por: Juan Pablo Carsi

Ransomware impacta a distrito escolar de Pittsburgh

Continuando con la tendencia de incidentes relacionados con ransomware en comunidades educativas de los EEUU, toca el turno del distrito escolar de Pittsburgh, que se ha convertido en una víctima que aún se encuentra en un proceso de recuperación por el impacto causado por el malware durante el receso de vacaciones, sin embargo su superintendente, Janet Schulze, señala que la institución está abierta para operar.

En un comunicado, Schulze dijo a los miembros del distrito que los estudiantes son bienvenidos de regreso mientras el departamento de TI del distrito lucha por recuperarse del ciberataque de ransomware, pero señaló que los niños pueden estar recibiendo una lección de historia inesperada.

«Estaremos enseñando y aprendiendo como se hacia antes 🙂 … sin computadoras portátiles e internet. Nuestras escuelas tienen acceso a la información de los estudiantes y nuestros teléfonos funcionan. Todavía no podemos recibir correos electrónicos, así que llame a la escuela de su hijo si es necesario.»

Un área que impacta directamente a los estudiantes es que el sistema de calificaciones en línea AERIES del distrito no está activo, por lo que los padres y los estudiantes aún no tienen acceso a las calificaciones del último semestre.

La buena noticia para los estudiantes es que los servicios de alimentos están funcionando en todas las cafeterías escolares.

Ransomware en sistemas HVAC de distrito escolar

El portal de noticias Edscoop ha reportado un nuevo incidente de Ciberseguridad relacionado con ransowmare en el distrito escolar de Michigan en los Estados Unidos, sin embargo, este último tiene una peculiaridad: el ciberataque tuvo como objetivo los sistemas HVAC (Sistemas de calefacción, ventilación y aire acondicionado), no las computadoras.

El malware fue descubierto el pasado 27 de diciembre mientras el personal de TI realizaba actualizaciones rutinarias en las computadoras cuando se descubrió que ingresó a los sistemas a través de una conexión de red con el proveedor de servicios de calefacción y refrigeración del distrito.

Varios de los sistemas críticos del distrito, incluyendo calefacción, teléfonos, fotocopiadoras y tecnología en las aulas, han dejado de funcionar como resultado del incidente. La información de los estudiantes y el personal, que se almacena fuera de los servidores del distrito, no parece estar comprometida, según indicaron las autoridades educativas.

Los responsables del ataque solicitaron alrededor de $ 10,000 USD en bitcoins por el rescate, pero las autoridades señalaron que no pagarán.

Este último ataque en Michigan es solo uno de una serie de ataques recientes de ransomware contra instituciones públicas y continúa la tendencia en 2020.

Universidad de Maastricht sufre ciberataque en Nochebuena

La Universidad de Maastricht en Holanda ha reportado en en un comunicado que se vio afectada por un «grave ciberataque» y que intenta recuperarse desde la Nochebuena.

Los ciberdelincuentes utilizaron una variante de ransomware denominada «Clop». Debemos recordar que el ransomware es un método que cifra los datos de su objetivo, secuestrándolos y volviéndonos inaccesibles hasta que se paga un rescate por ellos.

La Universidad ha reportado que casi la totalidad de los sistemas Windows se han visto afectados y que tienen serios problemas para utilizar servicios como el correo electrónico, la conexión vía VPN para sus usuarios remotos, la Biblioteca en línea y el Portal de estudiantes. Por otro lado, señaló que se están tomando medidas de seguridad adicionales para proteger los datos científicos y que se encuentra realizando un análisis para determinar si los ciberatacantes han tenido acceso a esta información.

«No está claro cuánto tiempo necesita la UM para encontrar una solución, pero definitivamente tomará un tiempo para que los sistemas vuelvan a estar completamente operativos», señaló la universidad.

Más de 1000 escuelas de EE. UU. impactadas por ransomware en 2019

El portal de Infosecurity Magazine ha señalado que en lo que va del año, más de 1,000 escuelas de EE. UU. se han visto afectadas por ransomware.

Según estadísticas de la firma de ciberseguridad Armor, se han identificado 11 nuevos distritos escolares compuestos por 226 escuelas que han sido comprometidas por este tipo de malware desde finales de octubre, lo cual eleva el número total de distritos escolares afectados a 72 por año, impactando aproximadamente 1,039 escuelas en todo el país.

Afortunadamente, de los 11 distritos impactados en la última ronda de ciberataques, solo uno confirma haber pagado el rescate. A principios de esta semana, Microsoft instó a los clientes a no pagar a los ciberdelincuentes.

«Lo más importante a tener en cuenta es que pagar a los ciberdelincuentes para obtener una clave de descifrado de ransomware no garantiza que se restablecerán sus datos cifrados».

Nuevo ataque de ransomware en instituciones educativas de EEUU. Ahora Louisiana Community College.

Los servidores y las computadoras de Baton Rouge Community College se han dejado inaccesibles después de un ataque de ransomware. Afortunadamente, el incidente ocurrió cuando los 8,500 estudiantes de la universidad no estaban en clases en el campus. El ciberataque está siendo investigado por la Unidad de Delitos Cibernéticos de la Policía del Estado de Louisiana, quien ha recopilado evidencia de la red, y confirmó una situación de intrusión cibernética y ransomware.

No se ha revelado exactamente el monto del rescate exigido a la Universidad, sin embargo, se ha declarado que no lo había pagado.

Los estudiantes de Baton Rough Community College aún pueden acceder a cuentas de correo electrónico a través de un método alternativo. Sin embargo, como resultado del incidente, el personal de la universidad tiene que ingresar manualmente la calificación de los estudiantes del último semestre. 

Las inscripciones para el próximo trimestre, la mayoría de las cuales, afortunadamente, ya se han completado, deben completarse manualmente hasta que la red informática vuelva a estar en línea. 

Autoridades de la Universidad han declarado que ninguna información personal relacionada con los estudiantes, el personal o facultades podría verse afectada por el ataque, ya que dichos datos se almacenan en un sistema alterno.

Otro distrito escolar afectado por ransomware

Otro distrito escolar de los EEUU se suma a la tendencia creciente de instituciones educativas que han sido víctimas de ransomware este año. Se trata de un distrito escolar en el norte del estado de Illinois, el cual anunció esta semana que algunos de sus sistemas también han sido infectados.

El Distrito Escolar de la Comunidad Sycamore 427 reportó que el ataque parece estar limitado a los «servidores de tecnología interna» del distrito; muchos otros sistemas , incluidos el correo electrónico, los teléfonos y los sistemas de información de los estudiantes, según los informes, no están infectados. Hasta el momento de esta publicación no se ha suministrado el tipo de ransomware utilizado, la cantidad solicitada en el rescate o si el distrito tiene la intención de pagar, y solo se ha compartido que está trabajando para determinar el alcance de los datos comprometidos. 

¡Ahora ransomware en cámaras!

Cuando escuchamos sobre ransomware, ese malware que secuestra el acceso a tus datos y que ha dado tantos dolores de cabeza tanto a usuarios como a grandes organizaciones alrededor del mundo, seguro vienen a nuestra mente esas noticias donde los dispositivos afectados son computadoras o servidores, sin embargo este tipo de ciberataques no solo se enfocan en esos objetivos. Tal es el caso de las cámaras digitales que están siendo atacadas con este peculiar malware.

Y es que al menos 30 cámaras del fabricante Canon se han encontrado susceptibles a vulnerabilidades críticas a través de conexiones Wi-Fi y USB. Los modelos de cámara afectados corren el riesgo de ser infectados por ransomware, por lo que los ciberatacantes pueden retener fotografías y videos tomados en la cámara

Las vulnerabilidades fueron descubiertas por la firma de ciberseguridad Check Point, que alertó a Canon sobre el problema que afecta a cada categoría de producto.

En respuesta, la japonesa Canon lanzó inmediatamente una notificación junto con una actualización de firmware para los 33 modelos de cámaras que son susceptibles de este tipo de ataque, desde dispositivos profesionales como la Canon EOS 1-DX Mark II hasta la Canon EOS R y la Canon PowerShot G5X Mark II.

La firma de ciberseguridad ha informado que otros fabricantes de cámaras también pueden ser vulnerables.

Foto: Tony Gutiérrez, STF / Associated Press

Distrito escolar de Texas paga demanda de ransomware

Según información del portal Beaumont Enterprise, el distrito escolar del estado de Texas pagó una cantidad no revelada de dinero en Bitcoins a un presunto ciberatacante en el extranjero, quien cifró millones de archivos del distrito.

Foto: Tony Gutiérrez, STF / Associated Press

Daniel Fontenot, director de servicios de información y seguridad del distrito, señaló que el personal de tecnología de la información había obtenido acceso a casi todos los archivos desde el lunes por la mañana.

Los funcionarios del distrito escolar declinaron dar a conocer el monto exacto del rescate, pero Fontenot señaló que fue negociado por la compañía de seguros del distrito.

Mientras se devuelve el acceso a los archivos, un equipo de ciberseguridad contratado por el distrito está haciendo un análisis exhaustivo de las computadoras físicas y la red del distrito.

La investigación apunta a que el ciberataque vino del extranjero, y que se estableció a la institución una fecha límite para obtener acceso a los archivos.

Los ciberataques basados en ransomware y dirigidos a instituciones educativas están convirtiéndose en uno de los principales negocios para ciberdelincuentes.

Cientos de escuelas de EE. UU. afectadas por ransomware en 2019

Ataques de ransomware, este tipo de ciberataque que cifra los datos y no permite su acceso hasta después de recibir un pago, han interrumpido las operaciones en 49 distritos escolares e instituciones educativas de EE. UU., convirtiendo al sector educativo en el segundo más popular para ciberatacantes.

Según un análisis publicado en el sitio web de Infosecurity, se señala que los ataques pueden haber comprometido hasta 500 escuelas K-12 en los primeros nueve meses de 2019, frente a solo 11 el año pasado. En poco más de una semana a mediados de septiembre, nueve distritos escolares y una universidad fueron afectados, alcanzando alrededor de 100 escuelas K-12.

Algunos ciberataques demandan cantidades altísimas de dinero, como el caso de Crowder College, que informó sobre un ciberataque el 11 de septiembre, afirmando que el rescate fue de USD 1.6 millones.

Según la institución educativa, hay evidencia de que los ciberdelincuentes habían estado dentro de los sistemas de TI del Crowder College desde noviembre del año pasado. Esto tendría sentido si fuera uno de los cinco objetivos alcanzados por el ransomware Ryuk este año, ya que estas infecciones suelen estar precedidas por troyanos Emotet o Trickbot, que a menudo sientan las bases para el ransomware.

Los ciberdelincuentes saben que estas organizaciones no pueden darse el lujo de cerrar, a menudo utilizan hardware y software obsoletos, y tienen pocas medidas de seguridad establecidas. Esta es una combinación mortal en el caso de un ataque de ransomware, que proporciona un alto sentido de urgencia y una alta probabilidad de grandes pagos.