El número de ataques a las administraciones municipales de EE.UU. va en aumento. En menos de dos meses, tres ciudades han sufrido el mismo ciberataque; el ransomware.
Baltimore, en el estado de Maryland, fue atacada en mayo. La administración decidió no pagar, aunque las estimaciones son de casi 20 millones de dólares en pérdidas. Un par de semanas después, Riviera Beach (Florida) fue la siguiente. Se cifraron los ordenadores de la ciudad y los funcionarios terminaron pagando 65 bitcoins (más de medio millón de euros).
Una semana después, otra ciudad del mismo estado sufrió el mismo ataque: Lake City. Esta vez la administración de la ciudad pagó todavía más rápidamente otro medio millón a los atacantes. No han dado datos de si pudieron descifrar sus datos, pero han confirmado que los atacantes les enviaros la clave de descifrado.
Lo que está claro es que el ransomware contra ciudades está aumentando y hay una nueva oleada de ataques, como son los casos de Atlanta, Jackson Country, Albany y demás.
¿To pay or not to pay? Esa es la cuestión.
Como ha demostrado el caso de Baltimore, sale mucho más caro enfrentarse a las consecuencias de un ataque que pagar a los extorsionistas. De hecho, es muy probable que los cálculos de las pérdidas de este incidente haya influenciado en la decisión que han tomado los ayuntamientos de Riviera Beach y Lake City.
Es compresible la decisión de éstos últimos. Cuando el ransomware paraliza a una ciudad, no sólo estamos hablando de dinero, sino que también afecta a la vida y quehaceres de su ciudadanía. Pero también es cierto que, cuando una ciudad paga, los hackers descubren que sus esfuerzos no han sido en vano. Por tanto, vuelven a actuar del mismo modo. Esto explica por qué tanto el FBI como las empresas implicadas en la seguridad de la información no recomiendan pagar. Se está demostrando que el ransomware contra ciudades es rentable.
Además, hay que tener en cuenta que no tienen por qué dar la clave de descifrado. Aunque en estos casos parecen ser ataques muy dirigidos a obtener remuneración económica, y no a la causa del mayor daño posible.
¿Cómo evitar un ataque de cifrado?
La gran mayoría de ataques de ransomware empiezan de la misma manera: Alguien recibe un e-mail con un enlace o archivo adjunto con malware y, al no identificar la amenaza correctamente, el empleado lanza el malware que, a su vez explota las vulnerabilidades ya conocidas en el sistema operativo. A veces el malware se expande a todos los ordenadores de la red local. Por ello es fundamental seguir los consejos:
- Actualiza el software, dando prioridad absoluta a los Sistemas Operativos. Recuerda que un porcentaje altísmo de vulnerabilidades se encuentran en sistemas como XP o 2003.
- Utilizar soluciones de seguridad que puedan tratar el ransomware ya conocido y detectado en todos los ordenadores.
- Formar a los empleados para que puedan reconocer y defenderse contra las técnicas de ingeniería social que utilizan los atacantes para introducirse en las redes corporativas.
Fuente: xataka, kasperksy, wikipedia, timesunion.com, threatpost.com, malwarebytes