Cada día aparecen noticias sobre nuevos ataques de ramsonware, a cual mas importante. El ransomware es un tipo de malware (programa malicioso) que luego de comprometer un equipo (aprovechando alguna vulneravilidad, normalmente ya conocidas de forma pública) secuestra la información (encriptan los datos) y exige el pago de un rescate para recuperar los datos. La palabra es un acrónimo de las palabras "ransom" (rescate) y "software".
Los virus infectan archivos o software y tienen la capacidad de replicarse, mientras que el ransomware altera los archivos de modo que no se puedan utilizar y, a continuación, exige un pago. Ambos pueden eliminarse con un antivirus, pero existe la posibilidad de que nunca pueda recuperar los archivos cifrados. De ahí la gravedad de este asunto.
La verdad es que este tipo de ataques son fáciles de evitar con políticas preventivas serias. Uno: todos los malware llegan adjuntos en correos email (no deberías abrir jamás un adjunto ni aunque venga de tu madre) 😉 o embebidos en aplicaciones de dudosa confianza. Es mas una labor de concienciación del usuario que no una solución técnica, tenemos la "puta" manía de abrir todo lo que llega. Dos: como decíamos arriba, los ataques aprovechan vulneravilidades conocidas por lo que mantener los equipos actualizados deberería ser "ley" y evitaría la mayoría de agresiones. Tres: otra solución es tener copias de seguridad fuera de la red (parece evidente pero las noticias diarias demuestran que brillan por su ausencia) y, en caso de ataque, restaurar los backup. Problema resuelto y a otro cosa, mariposa. Pues nadie "prevee" nada y pasan cosas como esta...
El 2 de Julio se reporta un ataque a la compañía Kaseya que ofrece servicios IT en remoto (tecnologías de la información). Dicha empresa da servicios a mas de 36.000 clientes por todo el mundo y el ataque de ransomware afecta a una buena parte. Jamás se llegará a saber el número real de equipos encriptados (las compañías siempre intentan ocultar los daños) pero se estima que unos 1500 clientes se han visto afectados. El ataque tiene dimensiones astronómicas y quizás sea el mas importante hasta la fecha. Todavía no hay resolución para este tema, actualizaré el blog en su momento.
¿Quién está detrás?
Kaseya no ha mencionado quién está detrás del ataque, pero el grupo de hackers Revil ha reclamado la autoría del mismo y piden un rescate de 70 millones de dólares en Bitcoin. La historia se repite, este mismo grupo atacó a la empresa ACER en Marzo 2021 y a ADIF en 2020. La resolución de casi todo los casos queda normalmente en secreto, a nadie le gusta reconocer que han acabado pagando. Sorprende la aparente impunidad con la que se mueven estos grupos (aún estando el FBI y medio planeta detrás de ellos) y muchos apuestan por una procedencia y beneplácito ruso. Esto no está confirmado, a occidente le gusta siempre acusar al mismo país.
La autoría del ataque está publicada en la red Tor, en una página llamada "Happy Blog" en donde se reportan también otros muchos ataques. Si utilizas el navegador Brave (lo recomiendo, es mi navegador por defecto) puedes abrir directamente una ventana privada en Tor y acceder a esta dirección onion. Te puede servir de excusa para empezar a moverte por Tor. 😀
dnpscnbaix6nkwvystl3yxglz7nteicqrou3t75tpcc5532cztc46qyd.onion
Comentarios
Wogker escribió: La verdad es que este tipo de ataques son fáciles de evitar con políticas preventivas serias. Uno: todos los malware llegan adjuntos en correos email (no deberías abrir jamás un adjunto ni aunque venga de tu madre) ...
PUES NO estoy de acuerdo. En mi empresa aplicamos políticas de prevención, se pide el uso del sentido común, no abrir ningún adjunto que no se esté esperando y aún así, verificar el tipo de archivo en el que viene, etc., etc... y se ha estado 2 veces a punto de que se abriera una mierda de virus de esos. No es tan fácil.
¿Que no ves "facil" (léase "sencillo") de implementar?. ¿Equipos actualizados?, ¿backups de seguridad?, ¿Concienciar al usuario para no abrir todo lo que le llega? Quizás esto último sería lo mas complicado pero se pueden implementar métodos para quitarle la capacidad de decisión al usuario en ese tema. Si estos tres puntos se cumplieran, no es difícil, el ransomeare no sería un problema en el 95% de los casos.
Cuéntanos de tu caso si puedes, me interesa sobremanera.
Concuerdo con Lukgrijander, de que es complicado enseñarle a los usuarios qué es lo que pueden abrir y que no.
El usuario final está "anestesiado" luego de tantos años de recibir mensajes del tipo "Debe leer la letra chica y luego haga click en 'aceptar'"... la gente está acostumbrada a hacer click igual que los monos.
La gente desea abrir tal o cual archivo, y punto. No es válido el argumento de "ah, ud. estaba avisado, la culpa es suya".
Y la culpa de de eso no es del usuario, sino al contrario. Durante muchos años los programadores se han escudado en "el usuario tiene que firmar el consentimiento", pero ese argumento no corre más.
------------
Es un problema más genérico, no sólo del software, sucede por ejemplo en la Medicina, muchas veces cuando uno tiene algo grave y hay que operar, el Doctor le dice que si desea operarse que firme el consentimiento. cuando en realidad el paciente no tiene ni idea de lo que está firmando, o si esa operación es conveniente o no.
El paciente confía ciegamente en el Doctor, y lo mismo pasa cuando "firmamos la letra chica del software"
Si los usuarios de las computadora fuesen todos técnicos, o por lo menos personas que le interesa la informática, eso de las "tres reglas" sería válido, pero se da el caso que la gran mayoría de los usuarios no están interesados en la informática, ése es el problema, para ellos las computadoras son un aparato que no les gusta, pero lo usan porque es muy útil.
Por ejemplo: Voy al mecánico y me dice "a UD se le rompió el motor porque hizo esto y lo otro, y todo lo que hizo estaba mal, Ud. no leyó el manual del auto, la culpa es suya"
En la realidad CASI NADIE LEE el manual del auto, es tarea del fabricante hacer ciertas cosas "a prueba de bobos".
Por ejemplo: en los coches con cambios automáticos es imposible que tu auto se cale. Eso es algo bueno, los fabricantes inventaron algo que es "a prueba de bobos".
Acerca del punto TRES:
Cuando se habla de hacer respaldos para evitar éstos problemas, no es infalible, ya que si los atacantes no fueron bobos, lo que harán es esperar varios meses antes de activar el ataque Ransomware.
De esa forma todos los backups también estarán infectados, a menos que los respaldos no sean solamente archivos de datos, pero es muy complicado, porque en un respaldo se pueden colar por ejemplo archivos de office con macros, o cosas por el estilo.
No soy experto en Backups, me imagino que esto que estoy describiendo ya lo han pensado y tal vez lo hayan resuelto.
Si los hackers de Revil se apoderan de mi PC, como que no pasa nada. Pero es que hablamos de una empresa que da servicio y tiene acceso a las redes de otras 36K, deberían tener unos protocolos de seguridad muy severos, severísimos. No dejar en manos del usuario "medio" la decisión de abrir archivos dudosos, mantener copias de seguridad diarias fuera de la red pública (véase la estrategia 3-2-1 de backups) y mantener los equipos actualizados sin vulnerabilidades. Que algo así pase en una empresa del tamaño Kaseya me parece una IRRESPONSABILIDAD con mayúsculas, digno de "cortas cabezas" de forma inmediata. (modo nazi ON) 😁
Es verdad, Wogker, es una vergüenza que a una empresa como Kaseya le pase lo mismo que una pequeña oficina, o que en mi casa, el responsable de la seguridad de esa empresa es realmente un tarado a la enésima potencia.
Yo me refería en general a todas las empresas, no sólo e ésta empresa que justamente trabaja con al seguridad.
Eso nos indica cómo trabajan esas empresas, uno se imaginaría algo complicado, "de película", pero tal vez en realidad los empleados de esa empresa hacen como la gran mayoría de todos lo usuarios en el mundo , o sea hacer estupideces privadas con la computadora en vez de trabajar, Y el encargado de la seguridad en vez de hacer su trabajo está mirando videos pedorros en Youtube.
Yo trabajo en una empresa donde el único correo que puedes abrir es el correo corporativo, que esta filtradisimo y no admite mas adjuntos que PDFs, y donde no se puede navegar libremente por Internet.
El correo privado no se abre en tu puesto de trabajo, Se abre en tu casa.
No se pueden instalar programas, si no eres informático y tienes nivel "Admin", y no puedes ejecutar .Exes desde discos externos, porque no van.
Algunas cosas "para tontos" si que se pueden hacer.
En la web Ransomwhere están recopilando información respecto a los pagos realizados en ataques ransomware. Aunque los pagos en Bitcoin son anónimos, sí son perfectamente trazables de la cartera origen a la cartera destino.
En mi empresa tenemos antivirus, cortafuegos, formación al personal sobre los tipos de emails con archivos peligrosos, actualizaciones constantes de los protocolos de seguridad (eso al menos dice la empresa que nos lleva la seguridad informática), actualizaciones de software antivirus.., y aún así, siempre hay un usuario que en un momento de prisa, descuido, confusión al leer el email con rapidez o la puñetera ley de Murphy, que hace que recibas un mail con un virus con un nombre muy similar (o el mismo) de alguien que estás esperando, puede meter la pata..., lo único bueno en nuestro caso es que de tanto por culo como doy con los virus y los emails, me suelen consultar antes de abrir algo "raro". En esos casos, directamente, elimino el correo.
En este artículo (en Inglés) se habla del posible desmantelamiento del grupo de hackers "Revil".
Casi tres semanas después de que el proveedor de software con sede en Florida Kaseya fuera afectado por un ataque generalizado de ransomware en la cadena de suministro, la compañía dijo el jueves que obtuvo un descifrador universal para desbloquear sistemas y ayudar a los clientes a recuperar sus datos.
"El 21 de julio, Kaseya obtuvo un descifrador para las víctimas del ataque ransomware revil, y estamos trabajando para remediar los clientes afectados por el incidente", la compañía dijo en un comunicado. "Kaseya obtuvo la herramienta de un tercero y tiene equipos que ayudan activamente a los clientes afectados por el ransomware a restaurar sus entornos, sin informes de problemas o problemas asociados con el descifrador".
No está claro si Kaseya pagó algún rescate. Vale la pena señalar que los afiliados de REvil habían exigido un rescate de $ 70 millones , una cantidad que posteriormente se redujo a $ 50 millones, pero poco después, la banda de ransomware se desconectó misteriosamente de la red , cerrando sus sitios de pago y portales de filtración de datos.
Fuente: The Hacker News
Como se suele decir y sin ánimo de ofender... "¡el problema está entre la pantalla y la silla!" :)