Hay varios ataques con BitPaymer / iEncrypt a empresas en España descubiertos el pasado lunes 4/11/2019, las nuevas víctimas son La cadena Ser y Everis entre otras. La petición de rescates en nuestro país según algunas fuentes superan los 1,5 millones de EUR en bitcoins.
El procedimiento es presumiblemente el mismo usado en el ataque a Pilz.
La cosa empieza así: Alguien recibe un email con un adjunto de un origen que parece conocido, si el usuario abre el adjunto aparece un mensaje preguntando si quiere ejecutar macros y si se responde que «si», el macrovirus contenido en el documento descarga un gusano que procede a infectar el ordenador de la víctima.
Se trata de ataques dirigidos (no es un sistema automatizado como sucedía con WannaCry). En estos casos concretos el grupo que hace estos ataques (se cree que son de países del este, probablemente de Rusia o Ucrania), se conecta a la red de la empresa durante días para infectar todos los equipos que puedan de forma silenciosa, intentando especialmente vulnerar los sistemas de backup, antes de liberar el «payload». Además, suelen hacer el cifrado de los datos en fin de semana para que el impacto sea lo mayor posible sin ser detectados.
Para vulnerar los demás equipos conectados en la red de la empresa utilizan múltiples técnicas, en este caso posiblemente han usado una vulnerabilidad de Windows llamada «BlueKeep», que tiene parche publicado desde el 14 de mayo (hace 5 meses y medio), de ser así, sería una negligencia por la falta de actualización de los sistemas operativos.
El ataque ha sido realizado con gran pericia ya que incluso han intentado encender los equipos apagados que tenían activo el «Wake on LAN» (si no se va a usar es recomendable desconectarlo en la BIOS de los equipos).
Esta es una captura de un ordenador de Everis mostrando la petición de rescate por sus datos, supuestamente filtrada por un empleado de la empresa (publicado en Twitter por @somospostpc):
En mi modesta opinión aquí nos encontramos ante dos problemas importantes.
- Una absoluta falta de formación del personal que maneja los ordenadores de la empresa. Si vas a subirte a un andamio te piden una formación para trabajos en altura, si vas a manejar alimentos necesitas un curso de manipulador, para todo lo relativo a temas de seguridad se pide formación, pero cualquiera puede usar los ordenadores de una empresa sin la más mínima noción de las prácticas más esenciales de seguridad.
- Falta de medios y de profesionales en seguridad en los departamentos IT de las empresas.
La tendencia actual en muchas empresas, al menos en España, es despedir a los profesionales bien pagados y cambiarlos por becarios, condiciones laborales de estrés y falta de formación de cualquier tipo, con el único objetivo de producir al mínimo coste posible creando entornos de trabajo tóxicos que producen desinterés y altas rotaciones. Con este panorama los problemas de seguridad se van a generalizar cada vez más.
Creo que los empresarios que no sepan apreciar que el valor de sus negocios descansa en la formación, interés y compromiso de sus empleados, están cometiendo un grave error estratégico.
Para una gran empresa pagar el rescate que les piden por sus datos es un coste insignificante comparado con la pérdida de confianza y de prestigio provocada por el incidente, siempre sale más barato prevenir, pero muchos no ven que invertir en seguridad sea necesario hasta que sufren las consecuencias. Otros, como el banco italiano UniCredit, parece que prefieren pagar el coste de los incidentes e invertir en marketing, que asumir el coste de la prevención.
Deja una respuesta