Telefònica està patint un dels ciberatacs més importants de la seua història recent, i les informacions que s’estan rebent apunten a un ransomware anomenat Wanna Decryptor que “segresta” les dades dels ordinadors infectats xifrant-los. Els treballadors de Telefònica no podrien recuperar l’accés a ells fins a pagar una recompensa econòmica als anònims responsables de l’atac.
Açò ha fet que en la seu de la companyia salten les alarmes, i diverses fonts han indicat que s’està seguint un protocol d’emergència que ha fet que tan treballadors de les seues oficines com a externs que tinguen accés a la intranet apaguen els seus ordinadors de manera immediata. El perill sembla real i important. Com ha pogut ocórrer açò, i què fer per a solucionar-ho?
Com actua el ransomware
El ransomware és un tipus de malware informàtic que s’instal·la de forma silenciosa en dispositius mòbils, i ordinadors de tot tipus, i que una vegada es posa en acció xifra o encripta totes les dades per a bloquejar l’accés a ells sense la contrasenya que permet desxifrar-los.
El mecanisme d’accés del malware als ordinadors afectats és variat, però sobretot se sol infectar a la víctima a través de correus amb spam: rebuts o factures falses, ofertes de treball, advertiments de seguretat o avisos de correus no lliurats, etc.
Si la víctima obri el fitxer ZIP que normalment s’adjunta en aquests correus, s’activa un Javascript maliciós que fa que s’instal·le el malware perquè el ciberatacant ho active quan ho considere oportú.
Aqueix tipus d’atac pot activar-se també a través de exploits que aprofiten vulnerabilitats de tot tipus. Les últimes dades del ciberatac patit per Telefònica semblen apuntar a equips amb Windows, i just aquesta setmana Microsoft publicava un pegat per a una vulnerabilitat crítica “zero-day” que havia descobert recentment i que era especialment perillosa.
O pagues, o t’oblides de les teues dades (més o menys)
Per a aconseguir la contrasenya els responsables d’aquest tipus de ciberatac demanen un rescat que sovint és econòmic. Com es veu en la imatge, la qual cosa veuen els usuaris afectats sol ser una pantalla informativa en la qual es demana una quantitat de diners (en aquest cas, 300 dòlars en bitcoin) que s’han de pagar en un termini establit, o en cas contrari aqueixes dades quedaran bloquejats per sempre.
Els afectats pel ciberatac tenen poques opcions, i de fet molts es plantegen pagar directament les quantitats, ja que la recuperació de les dades sol ser molt difícil en cas contrari.
Fins i tot pagant, avisen els experts en seguretat, les garanties que l’atacant oferisca la clau de xifrat no són totals, alguna cosa que ens deixa encara més vulnerables. Ací l’ideal és, com apunten empreses de seguretat com Kaspersky, és comptar amb còpies de seguretat: les còpies de seguretat ens poden salvar d’aquestes situacions, sobretot si l’empresa segueix una política adequada amb actualitzacions freqüents d’aqueixes còpies. Açò permetria als afectats recuperar les dades (o la gran majoria d’ells) a partir d’eixes còpies de seguretat i poder obviar l’amenaça.
Wanna Decryptor, un ransomware que es propaga a través de la xarxa
Les captures que han anat apareixent en els últims moments apuntaven al fet que el ransomware utilitzat en aquest ciberatac ha sigut Wanna Decryptor (Wcry), un conegut malware que xifra dades a través de l’algorisme AES per a després plantejar aqueix rescat. La CCN-CERT confirma que en efecte aquest ransomware és l’utilitzat en aquest ciberatac.
Telefònica no és l’única: moltes altres empreses espanyoles afectades
Un comunicat de la CCN-CERT, un dels organismes de seguretat més importants del nostre país, ha confirmat que encara que Telefònica ha sigut la gran protagonista del ciberatac hi ha moltes altres que estan també afectades per aquest ransomware.
“S’ha alertat d’un atac massiu de ransomware a diverses organitzacions que afecta sistemes Windows xifrant tots els seus arxius i els de les unitats de xarxa a les quals estiguen connectades, i infectant a la resta de sistemes Windows que hi haja en aqueixa mateixa xarxa”, expliquen els responsables d’aquest organisme, que confirmen que el ransomware és una versió de WannaCry.
Com expliquen en aquest comunicat, es fa ús d’una vulnerabilitat d’execució de comandos remota a través del protocol SMB que fa que el malware es distribuïsca a la resta de màquines Windows d’aqueixa xarxa.
Els sistemes afectats són Windows en diferents versions (Windows 7, 8.1, Windows 10, Windows Vestisca SP2, Windows Server 2008/2012/2016). Segons aqueix informe, la vulnerabilitat aprofitada en el ciberatac va ser inclosa en un butlletí de seguretat de Microsoft el passat 14 de març, i hi ha un document de suport per a poder solucionar el problema.
Detecta el malware en el teu ordinador
Lluitar contra ransomware pot ser difícil, fins al punt que molta gent el que fa és pagar per a aconseguir la clau de xifrat (encara que no és el recomanable).
Afortunadament, amb WannaCry no haurem de pagar; ja existeix un programa capaç de detectar i parar el seu funcionament. Es diu, de manera apropiada, Anti Ransom, i és usat per investigadors de seguretat de tot el món.
Es tracta d’un programa de codi obert, per la qual cosa podem descarregar-ho de manera gratuïta i sense por. El seu funcionament és molt curiós, ja que crea un “parany” per als ransomware; una carpeta que omple d’arxius falsos.
Quan un procés intenta canviar un d’aqueixos arxius (per exemple, per a xifrar-ho), Anti Ransom és capaç de detectar-ho, identificar-ho i avisar-nos. A més de permetre’ns parar el procés, també ens permet cercar la clau de xifrat en la memòria RAM.
Com sempre, la millor manera d’evitar el malware és sent responsables; no executar programes desconeguts o arxius de gent que no coneixem és el millor que podem fer. Encara que evidentment, hi ha vegades en les quals fins i tot açò no serà suficient; en aquest cas necessitarem un programa antivirus si Windows Defensar no és suficient.
