Ciberataques que secuestran industrias, la otra 'pandemia' que sacude el mundo

El pasado fin de semana fue el momento elegido como 'día cero' para realizar uno de los mayores ataques de ransomware (ciberchantaje) conocidos. Los intrusos fueron capaces de dejar parcialmente fuera de combate a Kaseya, una empresa estadounidense dedicada a software para otras que, a su vez, proveen de servicios de administración en línea. Un conocido grupo de ciberintrusos anónimos que actúa bajo el nombre de REvil pidió 70 millones de dólares pagados en bitcoins por una herramienta universal para deshacer este bloqueo masivo.

Los ciberataques contra infraestructuras críticas se están multiplicando por todo el mundo. De hecho, el pasado año Interpol anunció que los ataques de ransomware dirigidos a hospitales al principio de la pandemia de la covid-19 habían aumentado. La preocupación sobre este tipo de ataques quedan reflejadas en las estrategias públicas de seguridad y en España también.

El último ataque contra Kaseya ha tenido un potencial para paralizar cerca de un millón de sistemas que dependen de esta empresa. Se trata de un ataque grave por lo que implica: no sólo quedan secuestrados miles de sistemas —REvil encriptó los archivos hackeados con una clave de seguridad— sino que, además, se mina la confianza en los procesos: cuando los intrusos toman el control de los derechos de administrador de un proceso el mal se extiende como si fuera un cáncer.

Kaseya reconocía esta semana que tiene "noticia de menos de 60 clientes directamente afectados, todos los cuales usan un producto llamado Virtual Systems Administrator (VSA)", un software de gestión empresarial. Muchos de esos clientes sirven servicios online remotos a terceros. Es lo que ha sucedido con el cierre temporal de la cadena sueca de supermercados Coop, por ejemplo: 800 tiendas cerradas por la caída de sus sistemas.

"Si bien muchos de estos clientes brindan servicios a muchas otras empresas, entendemos que el impacto total hasta ahora ha sido en menos de 1.500 empresas", añade la nota.

REvil , el grupo que ha ofrecido la clave para liberar los sistemas cifrados y activo desde abril de 2019, es un viejo conocido por sus sofisticados ataques que, de momento, parecen motivados principalmente por dinero. Un proveedor de Apple (Quanta Computer), Garmin, Adif, la operadora Más Móvil...

Miguel Ángel Juan, socio fundador de la empresa de seguridad española S2 Grupo, comenta a Público que este ataque recuerda al causado por el malware NotPetya, que afectó fundamentalmente a Ucrania, poco después de la crisis mundial de WannaCry en 2017. Ese ataque llegó a afectar y paralizar al gigante danés de logística Maersk, que usaba un software de gestión de esa compañía en una sucursal. La naviera infectada perdió 255 millones de euros, aunque pudo volver a funcionar gracias a una configuración rescatada de una de sus sucursales africanas.

Desde el centro de alerta temprana del Instituto Nacional de Ciberseguridad INCIBE-CERT, su subdirector de servicios,  Marcos Gómez, comenta a Público que "estos ciberataques han aumentado en los últimos 2 o 3 años debido a que muchas empresas aún no han tomado conciencia de su peligrosidad, y cada vez más de ellas trabajan en medidas preventivas, concienciación a los empleados y la realización de copias de seguridad de sus sistemas y redes más críticas".

La otra 'pandemia'

Los ataques indiscriminados con ransomware son cada vez más sofisticados y, de momento, se están utilizando sobre todo como una forma de obtener dinero mediante chantaje: se aprovecha un agujero de seguridad para introducir un software que cifra la información de los servidores afectados mientras que los atacantes exigen una cantidad de dinero a cambio de facilitar la clave para descifrarla. Estos malwares actúan, además, imitando a un virus orgánico en un aspecto crucial: cada uno puede llegar a tener versiones diferentes con ligeras modificaciones en el código que hacen a menudo muy difícil su detección.

El pasado año, un informe de Palo Alto Networks (citado por Business Insider) indica que las exigencias de recaudación de estos ciberintrusos se triplicaron y alcanzaron una media de 260.000 euros por empresa 'rehén'.

Los ataques son más sofisticados y se hacen para obtener dinero mediante chantaje

Además, el riesgo de estos ataques es proporcional a su sofisticación y su escalabilidad. Cada año se incrementan los efectos de estos ataques en servicios e industrias, muchas de ellas críticas para el funcionamiento de la economía global. No se trata, por tanto, de un problema informático ajeno al ciudadano de a pie, sino de una de las principales preocupaciones de casi todos los países.

Desde la paralización de sistemas industriales en centrales nucleares (como el célebre gusano informático Stuxnet, de 2010) hasta el más reciente ataque a Colonial, que dejó inactiva la mayor red de oleoductos de la costa este de EEUU durante casi una semana (pagó rescate), los ataques se suceden.

Según Miguel Ángel Juan, una de las principales razones de estos ataques es, efectivamente, ganar dinero a través de la extorsión. "La sofisticación viene, también, por cómo conseguir meter el malware en un sistema —dónde se encuentra la vulnerabilidad—, ya que el malware en sí, que cifra los archivos, suele estar muy estudiado", apunta, y razona: "Romper un cifrado es algo muy difícil; por eso hay tantas empresas que pagan el rescate, porque al final es eso o no poder seguir con su actividad", a menos que dispongan de copias de seguridad.

Las recomendaciones de empresas de seguridad, expertos y gobiernos es no pagar nunca rescates porque, al final, incentiva la actividad de estos cibermafiosos. No obstante, muchos pagan porque, en realidad, no tienen otra alternativa para seguir funcionando.

Ataque indiscriminado a la confianza

En un comunicado, el director de seguridad de Sophos Ross McKerchar afirma que este último secuestro de sistemas es "uno de los ataques criminales de ransomware de mayor alcance" que ha visto. Esta compañía de seguridad informática considera que al usar este método de distribución de malware sus acciones se vuelven indiscriminadas y golpean a tantos negocios como sea posible, "sin importar el tamaño o el tipo de industria".

Por su parte, Lavi Lazarovitz, director senior de investigación cibernética de CyberArk Labs, comentó también en una nota que "los patrones de este ataque recuerdan a la campaña Cloud Hopper", dirigida a proveedores de servicios de gestión informática (o MSP,  por sus siglas en inglés) y que llegó a afectar a cientos de empresas que tenían relación con esos proveedores.

"Lo más importante es que en el incidente de Kaseya, los atacantes se centran en comprometer el software, los procesos y las relaciones de confianza", afirma este experto.

Precisamente, la desconfianza hacia cualquier interacción extraña con los sistemas es, al final, la mejor arma para tratar de evitar estos ataques, como recuerda el fundador de S2 Grupo: "No hay que fiarse ante cualquier desconocido".