así funciona el ransomware que se ha usado en el ciberataque a Telefónica

Telefónica está sufriendo uno de los ciberataques más importantes de su historia flamante, y las informaciones que se están recibiendo apuntan a un ransomware llamado Wanna Decryptor que “secuestra” los datos de los ordenadores infectados cifrándolos. Los trabajadores de Telefónica no podrían recuperar el ataque a ellos hasta acreditar una retribución económica a los anónimos responsables del ataque.

Eso ha hecho que en la sede de la compañía salten las alarmas, y diversas fuentes han indicado que se está siguiendo un protocolo de emergencia que ha hecho que tanto trabajadores de sus oficinas como externos que tengan ataque a la intranet apaguen sus ordenadores de guisa inmediata. El peligro parece verdadero e importante. ¿Cómo ha podido ocurrir esto, y qué hacer para solucionarlo?

Cómo actúa el ransomware

El ransomware es un tipo de malware informático que se instala de forma silenciosa en dispositivos móviles, y ordenadores de todo tipo, y que una vez se pone en obra signo o encripta todos los datos para encerrar el ataque a ellos sin la contraseña que permite descifrarlos.

Telef Los responsables de Telefónica han difundido este mensaje a los usuarios de su Intranet para que dejen de usar el ordenador de forma inmediata.

El mecanismo de ataque del malware a los ordenadores afectados es variado, pero sobre todo se suele infectar a la víctima a través de correos con spam: recibos o facturas falsas, ofertas de trabajo, advertencias de seguridad o avisos de correos no entregados, etc.

Si la víctima abre el fichero ZIP que normalmente se adjunta en dichos correos, se activa un JavaScript sagaz que hace que se instale el malware para que el ciberatacante lo active cuando lo considere oportuno.

Ese tipo de ataque puede activarse además a través de exploits que aprovechen vulnerabilidades de todo tipo. Los últimos datos del ciberataque sufrido por Telefónica parecen apuntar a equipos con Windows, y justo esta semana Microsoft publicaba un parche para una vulnerabilidad crítica “zero-day” que había descubierto recientemente y que era especialmente peligrosa.

O pagas, o te olvidas de tus datos (más o menos)

Para ganar la contraseña los responsables de este tipo de ciberataque piden un rescate que a menudo es crematístico. Como se ve en la imagen, lo que ven los usuarios afectados suele ser una pantalla informativa en la que se pide una cantidad de peculio (en este caso, 300 dólares en bitcoin) que se deben acreditar en un plazo establecido, o de lo contrario esos datos quedarán bloqueados para siempre.

Ransomware Esto es lo que están viendo en sus pantallas actualmente los afectados por este ransomware

Los afectados por el ciberataque tienen pocas opciones, y de hecho muchos se plantean acreditar directamente esas cantidades ya que la recuperación de los datos suele ser muy difícil en caso contrario.

Incluso pagando, avisan los expertos en seguridad, las garantías de que el atacante ofrezca la esencia de oculto no son totales, poco que nos deja aún más vulnerables. Aquí lo ideal es, como apuntan empresas de seguridad como Kaspersky, es contar con copias de seguridad: los backups nos pueden exceptuar de estas situaciones, sobre todo si la empresa sigue una política adecuada con actualizaciones frecuentes de esas copias. Eso permitiría a los afectados recuperar los datos (o la gran mayoría de ellos) a partir de esos backups y poder obviar la amenaza.

En Telefónica ya están trabajando para tratar de resolver el problema y Chema Alonso, CSO de la empresa, emitía un pequeño comunicado a través de Twitter para indicar que la situación está ahora mismo afectando adicionalmente a otras empresas.

El problema, eso sí, no afecta a consumidores o clientes de Movistar, cuyo ataque a los servicios de voz y datos proporcionados por la compañía siguen funcionando con normalidad.

Wanna Decryptor, un ransomware que se propaga a través de la red

Las capturas que han ido apareciendo en los últimos momentos apuntaban a que el ransomware utilizado en este ciberataque ha sido Wanna Decryptor (Wcry), un conocido malware que signo datos a través del operación AES para luego exponer ese rescate. La CCN-CERT confirma que en propósito este ransomware es el utilizado en este ciberataque.

Ransom1

Como explicaban en MySpybot, uno de los problemas de obtener la esencia para descifrar los datos es que no está en el ordenador tópico, sino almacenada en la máquina desde la que se realiza el ataque, lo que obliga a los usuarios a hacer el suscripción para poder recuperar el ataque a sus datos si no tienen algún tipo de backup para recuperar esos datos desde él.

Otro de los problemas adicionales que plantea este ransomware en concreto es que no solo afecta a los datos locales, sino que adicionalmente se propaga por la red, cifrando los formatos de fichero más populares para terminar “destruyendo” el ataque a datos compartidos en una intranet sin que los usuarios puedan hacer mucho por evitarlo.

Imagen | KasperskyLab
En Xataka | Qué es el ransomware, cómo actúa y cómo prevenirlo


Source link

deja tu opinion

Seguinos

Tecnoblog en las redes sociales