Un ciberataque de extorsión con una “dimensión nunca antes vista” fue detectado en distintos sitios institucionales alrededor del mundo.
En Colombia, la alerta la dio el gobierno nacional, a través del Ministerio de Defensa, el Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC) y la Policía Nacional. Aunque no se han reportado casos, se envió una alerta sobre el incidente informático de escala global que afecta el sistema operativo Microsoft Windows.
Este incidente informático compromete las versiones de Windows más recientes, desde la XP en adelante, que no estén debidamente actualizadas. Introduce un ransomware que secuestra la información del equipo a cambio de un pago en bitcoins. Este es el mensaje que el usuario infectado encontrará en su equipo:
La especial criticidad de esta campaña viene provocada por la explotación de la vulnerabilidad descrita en el boletín MS17-010 utilizando EternalBlue/DoublePulsar, que puede infectar al resto de sistemas Windows conectados en esa misma red que no estén debidamente actualizados. La infección de un solo equipo puede llegar a comprometer a toda la red corporativa.
El ransomware, una variante de WannaCry, infecta la máquina cifrando todos sus archivos y, utilizando la vulnerabilidad citada en el párrafo anterior que permite la ejecución de comandos remota a través de Samba (SMB) y se distribuye al resto de máquinas Windows que haya en esa misma red.
Los sistemas afectados que disponen de actualización de seguridad son:
Microsoft Windows Vista SP2
Windows Server 2008 SP2 y R2 SP1
Windows 7
Windows 8.1
Windows RT 8.1
Windows Server 2012 y R2
Windows 10
Windows Server 2016
Medidas de prevención y mitigación:
- Actualizar los sistemas a su última versión o parchear según informa el fabricante
- Para los sistemas sin soporte o parche se recomienda aislar de la red o apagar según sea el caso.
- Aislar la comunicación a los puertos 137 y 138 UDP y puertos 139 y 445 TCP en las redes de las organizaciones.
- Descubrir qué sistemas, dentro de su red, pueden ser susceptibles de ser atacados a través de la vulnerabilidad de Windows, en cuyo caso, puedan ser aislados, actualizados y/o apagados.
Según datos de BBC.com/Mundo, el ransomware activado por los perpetradores pedía dinero a cambio de liberar el acceso, cerró lo sistemas informáticos en instituciones de Reino Unido, EE.UU., China, Rusia, España, Italia, Vietnam y Taiwán, entre otros. El sitio de seguridad cibernética Securelist registró unos 45.000 ataques de ransomware en 74 países, la mayoría en contra de sitios de Rusia.
Aún no está claro si esas intrusiones están relacionadas entre sí. “Este es un ataque cibernético importante, que impacta organizaciones de toda Europa a una dimensión nunca antes vista”, dijo el experto en seguridad Kevin Beaumont. Los criminales autores de la amenaza pedían un pago a cambio de liberar el sistema debía ser completado antes del 15 de mayo o de lo contrario los archivos serían eliminados cuatro días después. El monto era de US$300 y debía ser pagado mediante la moneda electrónica bitcoin.
En definitiva, se trata de mantenerse en alerta y aplicar buenas prácticas de seguridad sin caer en la desesperación, y tal como siempre recomendamos: en caso de ser víctima, no acceder al pago solicitado por los atacantes ya que no solo no está garantizado que vayan a devolver el acceso a los archivos, sino que esta práctica alienta a que continúen realizando este tipo de ataques.