En 2017 una de las noticias más importantes en el mundo de la seguridad informática fueron los ataques de ransomware masivos causados por WannaCry, que en aquel entonces había dejado fuera de juego la Intranet de Telefónica en toda España mientras se extendía por todo el mundo.
Wanacry dejó muchas cosas en evidencia, como el mal que estaban haciendo los exploits de la NSA robados por The Shadow Brokers, y especialmente los riesgos de usar sistemas operativos obsoletos como Windows XP. Hoy, Everis y la Cadena Ser sufren un ataque de ransomware que ha inutilizado sus sistemas, y es que el problema con este tipo de ataques sigue estando más presente que nunca.
El ransomware es un tipo de ataque que al infectar un equipo usualmente cifra todos los datos en el disco de la máquina y pide un rescate a la víctima a cambio de entregar la clave de cifrado. De ahí su nombre "ransom", porque es básicamente un secuestro de los datos. Pagar nunca es la solución, porque incluso en esos casos, rara vez se recuperan los archivos.
Aunque la técnica lleva décadas usándose, en los últimos años el número de amenazas ha ido creciendo exponencialmente. Ya en 2016 varias firmas de seguridad advertían que se perfilaba como un problema multimillonario. En 2019 Trend Micro detectó un aumento del 77% en los ataques de ransomware durante la primera mitad del año a pesar de que menos familias de ransomware han sido detectadas. Y según Symantec el ransomware que ataca al entorno empresarial aumentó un 12% este año.
BlueKeep, Ryuk y las advertencias de los expertos en los últimos meses
Aunque según los investigadores, WannaCry sigue siendo el tipo de ransomware más prevalente, otros como Ryuk, LockerGoga, RobbinHood y SamSam han estado apareciendo en los titulares recientemente.
En octubre, el Centro Critptológico Nacional y el CNI advertían de una oleada de ataques informáticos afectando a las administraciones españolas. El Ayuntamiento de Jerez tuvo sus sistemas bloqueados por varios días tras ser víctima de un ataque con el ransomware Ryuk.
En mayo de 2019 la ciudad de Baltimore en Estados Unidos tuvo que desconectar toda la red informática de la ciudad tras ser atacados por EternalBlue, uno de los exploits de WannaCry. Los cibercriminales les exigían unos 100.00 euros para liberar los equipos. Apenas un día después Microsoft tuvo que lanzar un parche de emergencia para versiones viejas de Windows.
En julio, el gobernador de Luisiana declaró estado de emergencia tras ver varios distritos escolares afectados por ransomware que dejó inaccesibles sus redes informáticas.
Hoy pudimos saber que Everis y la Cadena SER sufren un ataque con ransomware que ha inutilizados sus sistemas, aunque de momento no sabemos cuál es el culpable ni cómo se ha propagado la infección.
Recientemente también han comenzado a aparecer los primeros ataques que explotan la vulnerabilidad zero-day en Windows llamada BlueKeep. Lo más importante de esta es que se trata de una vulnerabilidad de ejecución remota de código en los servicios de escritorio remoto de Windows, y que es tan peligrosa que incluso la NSA rogaba que actualizaras tu equipo. ¿Por qué? porque según los expertos podría tener un impacto similar al que tuvo WannaCry en 2017.
Esta vulnerabilidad es ‘wormable’, lo que significa que cualquier malware futuro que logre explotarla podría propagarse de ordenador en ordenador vulnerable de forma similar a como se propagó el infame WannaCry.
Microsoft solucionó la vulnerabilidad que afecta a Windows 7, Windows XP, y Windows Server 2008. Sin embargo BlueKeep ya está siendo explotado de forma activa, aunque de momento "solo" para infectar equipos con malware de criptominado.
La buena noticia, es que hasta ahora los ataques de BlueKeep no son una amenaza 'wormable', pero se teme que exploits más avanzados puedan aparecer pronto. Algo que habla de la importancia de esta amenazas es que Microsoft haya terminado lanzando parches múltiples veces para sistemas que llevan años sin soporte.
A Windows 7 solo le quedan un par de meses de soporte pero aún sigue instalado en cientos de millones de ordenadores en todo el mundo. Ordenadores que pronto serán vulnerables a este tipo de ataques, o que lo son ya si los servicios de IT no se han molestado en actualizarlos. Los cibercriminales saben de exploits como BlueKeep y están listos para comenzar a explotarlos.
Ver 3 comentarios