Ciberataque masivo afecta empresas en Europa ¿Por qué piden rescate en Bitcoins?

By on 13 mayo, 2017

Avast muestra el mapa del ciberataque masivo, el mayor registrado hasta hoy.

Uno de los ciberataques más relevantes de la historia se produjo el viernes 12 de mayo de 2017, al infectar computadoras de instituciones estatales, entre ellas de hospitales en donde se creó una situación de emergencia, sobre todo en países europeos, en una forma de secuestrar los datos de una computadora exigiendo un pago de rescate.

Entre las afectaciones se encontraban centros hospitalarios, así como grandes compañías y oficinas gubernamentales, afectadas por un virus que busca tomar el control de las computadoras hasta que las víctimas paguen un rescate.

La firma de ciberseguridad Avast dijo que había identificado más de 75.000 ataques de ransomware en 99 países el viernes, haciéndolo uno de los ciberataques con mayor alcance y más dañinos de la historia.

Avast dijo que la mayoría de los ataques se enfocaron en Rusia, Ucrania y Taiwán. Pero hospitales en el Reino Unido, universidades en China y firmas globales como Fedex también reportaron haber sido tomados por asalto.

De acuerdo a los datos de Avast, el ransomware se centró, principalmente, en Rusia, Ucrania y Taiwán, pero ha conseguido infectar grandes instituciones, como los hospitales de Inglaterra y la empresa española de comunicaciones, Telefónica.

Expertos en seguridad dijeron que la propagación del ransomware se había detenido el viernes por la noche. Pero no estaba claro cuántas organizaciones habían perdido el control de su información por el software malicioso, y los investigadores dijeron que otros ataques similares podrían venir después.

El ataque muestra, una vez más, que el ransomware es una herramienta poderosa que puede utilizarse tanto para usuarios como para empresas. El ransomware se vuelve particularmente molesto cuando infecta instituciones como hospitales, donde puede poner en riesgo la vida de los pacientes.

El Ministerio del Interior de Rusia emitió un comunicado el viernes reconociendo un ataque de ransomware en sus computadoras, añadiendo que menos de 1% de las computadoras resultaron afectadas y que el virus había sido “localizado” y destruido.

El Departamento de Estado de Estados Unidos, en un comunicado el viernes, urgió a la gente a actualizar sus sistemas operativos. “Estamos compartiendo activamente información relacionada con este evento y estamos listos para prestar el apoyo técnico y la asistencia que necesiten nuestros socios, tanto en Estados Unidos como internacionalmente”, dijo el departamento.

Además, el secuestrador pide $300 en bitcoins. El mensaje que se muestra en pantalla contiene instrucciones sobre cómo pagar el rescate.

¿Piden rescate en bitcoins?

En los casos antes mencionados el secuestrador ha pedido $300 en bitcoins. Expertos en el tema analizan porqué los secuestradores exigen el pago en bitcoin.

El rescate se pide en la divisa digital Bitcoin (BTC). 300 dólares por terminal afectado. Unos 17 “céntimos” de Bitcoin al cambio actual. Es un negocio lucrativo por partida doble. Por un lado, está el crecimiento del ransomware: de apenas 15 millones de ataques registrados en 2015 se pasó a más de 635 millones el pasado año. El FBI y varias compañías de seguridad estiman que, sólo en rescates, se pagaron cerca de 900 millones de euros en 2016. Y son datos muy aproximados. La falta de denuncias y los casos particulares son difíciles de cuantificar, no llegan a los titulares como el ataque de hoy.

El ciberataque se ha realizado con ‘ransomware’, una modalidad de ‘malware’ que pide un rescate por liberar los equipos infectados.

Empleados de Telefónica han confirmado la recepción de mensajes pidiendo el pago de dinero en bitcoins para liberar los equipos afectados y los archivos de los mismos, que habrían sido cifrados por el virus.

Según estos mensajes, los atacantes daban un plazo de horas para liberar los ordenadores tras el pago de 300 dólares en bitcoins. De no hacerlo, subirían el precio del rescate en fechas posteriores. Amenazan con eliminar los archivos de no realizarse el pago.

Bitcoin es una moneda, como el euro o el dólar estadounidense, que sirve para intercambiar bienes y servicios. Sin embargo, a diferencia de otras monedas, Bitcoin es una divisa electrónica que presenta novedosas características y destaca por su eficiencia, seguridad y facilidad de intercambio.

Su mayor diferencia frente al resto de monedas, se trata de una moneda descentralizada, por lo que nadie la controla. Bitcoin no tiene un emisor central como los dólares o los euros, la criptomoneda es producida por las personas y empresas de alrededor del mundo dedicando gran cantidad de recursos a la minería.

El fondo de pantalla de la víctima se cambia a una imagen así.

El experimento criptográfico que las vio nacer, creado bajo seudónimo hace unos ocho años, es lo de menos. Lo importante es lo que ofrecen: la posibilidad de pagar de forma segura, anónima, y muy difícil de rastrear, en Internet. A diferencia de PayPal o de tu tarjeta de crédito, pagar algo en Bitcoins en Internet es como hacerlo en dinero físico en el mundo real: es muy complicado rastrear de dónde viene y adónde va el dinero.

Las BTC conocieron su primer momento de gloria durante los años de crecimiento de la Deep Web, los barrios bajos de Internet, que en uno de sus rincones (la Deep Web es bastante más grande que el Internet que conoces) disponía de un mercado de drogas, armas y servicios criminales de pago. Contar con una divisa anónima para operar impunemente revalorizó las bitcoins.

En octubre de 2009 la primera transacción en BTC fijaba el cambio en unos 8 céntimos de euro por bitcoin. En 2013, el rescate bancario a la banca chipriota impulsó la evasión de divisas hacia Internet por primera vez, generando la primera burbuja bitcoin: en pocos días, una “moneda” paso de valer 75 euros a unos 245 euros, de golpe. A esta hora, una bitcoin “entera” (se puede comerciar en fracciones muy, muy inferiores a los céntimos) cuesta entre 1730 y 1765 dólares. 1615 euros.

Vector de infección: WanaCrypt0r 2.0

Avast ha informado que WanaCrypt0r 2.0 se suele distribuir en los PC gracias a un exploit que Equation Group, un grupo sospechoso de estar vinculado a la NSA, utilizó para sus sucios negocios.

Un grupo de hackers llamado ShadowBrokers ha robado las herramientas de hacking de Equation Group y las ha publicado. Tal y como ha confirmado el analista de seguridad Kafeine, el exploit, conocido como ETERNALBLUE o MS17-010, probablemente fue utilizado por los cibercriminales que andan detrás de WanaCrypt0r y se trata de una vulnerabilidad Windows SMB (Server Message Block, un protocolo de transmisión de archivos).

Avast detecta todas las versiones conocidas de WanaCrypt0r 2.0, pero recomendamos a todos los usuarios de Windows que actualicen su sistema con las últimas actualizaciones disponibles. Seguiremos monitorizando este brote y actualizaremos este artículo tan en cuanto tengamos novedades.

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *