En mayo de este año, la ciudad de Baltimore, EEUU, se paralizó. Todos los sistemas del gobierno municipal fueron infectados con una variante de ransomware llamada RobbinHood. Para descifrar los sistemas, los ciberatacantes pedían un rescate de 13 bitcoin—unos 76.000$ (68.9612€). Esta misma variante también se había visto por primera vez en un ataque contra la ciudad de Greenville en Carolina del Norte en abril del mismo año.
RobbinHood aprovecha su fama
Estos dos incidentes acapararon titulares cuando los ataques se hicieron públicos, debido a su escala y su severidad. Ahora, parece que los atacantes detrás de RobbinHood están utilizando este hecho para su propio beneficio. Joakim Kennedy, un investigador de ciberseguridad, ha descubierto una nueva variante del malware cuya nota de rescate sugiere que la víctima busque Baltimore y Greenville en Google para comprender lo grave que es su situación, y cuánto daño se ha hecho a los archivos afectados.
La nota también le informa a la víctima de que el atacante lleva un tiempo el su red, investigando sus puntos débiles, y que debe pagar el rescate dentro de cuatro días. “Si no pagas dentro de este periodo, el precio aumentará 10.000$ cada día… No llames al FBI ni a otras organizaciones de seguridad.”
Además de presumir de su éxito en el pasado, los atacantes resaltan el hecho de que no haya una herramienta para descifrar los archivos afectados; de ahí, que sea imposible recuperarlos sin la clave privada y el software de descifrado de los atacantes.
El daño que causa un ataque de RobbinHood
Cuando consideramos los daños ocasionados por un ataque de RobbinHood, no es de sorprender que recibiera tanta atención el incidente en Baltimore, ni que los atacantes quieran aprovecharlo para intentar ganar más dinero. Aunque el rescate que pedían era de 76.000$, la ciudad gastó 4,6 millones de dólares en recuperar los datos en todos los equipos, y los sistemas estuvieron fuera de servicio durante casi un mes.
Sin embargo, el ayuntamiento estima que para final de año, habrá gastado 5,4 millones de dólares más, sumando en total 10 millones. Y esta cifra no incluye las potenciales pérdidas de ingresos debido a la imposibilidad de pagar multas, impuestos y otras tasas de cuando estuvieron paralizados los sistemas y tuvieron que paralizar la actividad. Otras fuentes citan una cifra más alta: 18 millones de dólares.
Aprende de los errores de Baltimore
Aunque es cierto que RobbinHood causó mucho daño en los sistemas del ayuntamiento, también lo es que las acciones del gobierno municipal, tanto antes como después del incidente, han sido criticadas y contribuyeron al aumento de los costes. La primera crítica era que la ciudad—a diferencia de Atlanta, que sufrió un ataque de ransomware en 2018—no tenía un seguro que cubriera los costes de un ciberataque, a pesar de las advertencias del responsable de seguridad. Tampoco tenía un plan de formación en materia de ciberseguridad para sus empleados, y aunque existían copias de seguridad, no se sabe si eran suficientes para recuperar el sistema. Es más, el alcalde se negaba a confirmar si existía un plan de recuperación para enfrentarse a ataques de ransomware.
Evita los costes del ransomware
Desafortunadamente, la afirmación de los atacantes es cierta: de momento, no existe ninguna clave de descifrado pública para RobbinHood. Sin embargo, esto no quiere decir que pagar el rescate sea la solución a ataque de ransomware. De hecho, expertos en ciberseguridad apuntan que pagar el rescate solo añade al problema, animando a los cibercriminales a seguir atacando y los fondos recaudados se utilizan para llevar a cabo más actividades criminales. Desde Panda Security nos sumamos a esta posición, además de recordar que pagar un rescate no garantiza que lleguemos a ver nuestros datos de nuevo.
Una de las medidas más importantes es la creación de copias de seguridad para poder volver a la normalidad lo antes posible. También conviene tener un plan de respuesta a incidentes para saber cómo actuar ante esta amenaza.
Además de estos consejos, cabe recordar que el ransomware tiene un abanico muy amplio de TTPs para llegar a los sistemas informáticos de todo tipo de organizaciones. Por este motivo, es esencial saber exactamente lo que ocurre en el sistema en todo momento, reduciendo así la superficie de ataque. Uno de los principios en los que basa su valor el servicio de ciberseguridad avanzada de Panda Adaptive Defense es la clasificación del 100% de los procesos, manteniendo tu parque informático automáticamente adaptado a la evolución de los ataques y proporcionando una visibilidad total.
Cuando empezó el incidente en Baltimore, muchos medios informaron que el ransomware había entrado en los sistemas a través de la vulnerabilidad EternalBlue, aunque más tarde algunos investigadores rebatieron esta afirmación. Sea lo que fuere, lo cierto es que gran cantidad de ataques de ransomware aprovechan las vulnerabilidades para explotarlas y conseguir así acceder a la red corporativa. Para dar respuesta a este tipo de incidentes, Panda Adaptive Defense cuenta con un módulo adicional, Panda Patch Management, que audita, monitoriza y prioriza las actualizaciones para que puedas estar seguro de siempre estar protegido contra las vulnerabilidades. De esta manera, podrás gestionar los parches necesarios para tu empresa sin tener que invertir más tiempo o recursos en ello. Y completarás tu sistema de protección para blindar tus activos de tendencias de ataque como es RobbinHood.