miércoles, 14 de febrero de 2018

Ataques de Ransomware. Un escalamiento peligroso


Durante el mes de enero tres diferentes ataques a entidades de salud en Estados Unidos demuestran el escalamiento de los ataques ransomware que sin duda se extenderán a entidades de países latinoamericanos.

Estos ataques recientes usan malware común para encriptar grandes cantidades de datos. Hasta ahí nada fuera de lo usual, pero los métodos, las similitudes y variaciones del malware utilizado genera alarma.

Las entidades afectadas, ambos hospitales ubicados en el estado de Indiana, EEUU, sufrieron un ataque con una variante del software ransomware conocido como SamSam. Incluso una de las entidades admitió pagar más de U$40,000 de rescate para recuperar sus datos capturados. Y se desconoce si la segunda entidad afectada también haya pagado rescate por sus datos. No se ha indicado en ninguno de los casos que datos de pacientes hayan sido “secuestrados”.

Una tercera entidad, un proveedor de sistemas en la nube, también anunció que sus sistemas de información fueron contaminados por ransomware. El ataque fue tan severo que la entidad debió desconectar sus centros de cómputos remotos para minimizar la contaminación. Afortunadamente para este proveedor, su equipo de respuesta parece ser experimentado y actuó rápidamente.

Este escalamiento que puede afectar enteros centros de cómputo es ciertamente preocupante. Tal como indiqué hace un tiempo, este es el mayor riesgo del ransomware. Debe recordarse que un ataque de ransomware no se limita a los archivos almacenados localmente en el computador de la víctima, y el malware intentará encriptar todo archivo que se encuentre en un folder local o remoto, que usualmente radica en servidores.

La contaminación de un laptop o varios equipos en una red definitivamente pueden causar interrupciones y dolores de cabeza, pero si los servidores de archivos llegan a ser contaminados la operación puede detenerse completamente. Como estos casos bien demuestran, los servicios al público sufren interrupciones severas y en el caso del sector salud las consecuencias podrían ser mortales.

En el caso particular de estos ataques, al parecer ciertos servicios de administración remota estaban disponibles. Como es bien conocido en el medio de seguridad informática, tener acceso remoto directo a servicios de administración de un sistema como RDP en Windows o similares es una pésima práctica.

La creciente sofisticación de los ataques ransomware obliga que el personal de seguridad informática conozca los datos más críticos de su organización e identifique los posibles vectores de ataque que puedan afectar esos datos.

Pero más allá de la vulnerabilidad específica, la lección es que las organizaciones deben reconsiderar su acercamiento a la protección de los datos de sus clientes y la profesionalización de su personal de seguridad informática. Desafortunadamente, aún hay mucho camino por recorrer en Latinoamérica.