Ransomware: como evitar ser chantajeado y vivir feliz
Un director de una empresa, de cualquier giro, se enfrenta diario con varios dolores de cabeza: problemas con los proveedores, quejas de clientes, broncas financieras entre otros. Cuestiones cruciales y complicadas indudablemente, que pero pierden automaticamente importancia cuando ocurren emergencias como los de la semana pasada en un hotel en los hermosos Alpes de Austria.
Era un día como otros para Christopher Brandstaetter, el director del hotel Romantik Seehotel Jäegerwirt en Turrach, Austria, cuando de repente el personal le empezó a reportar fallas en los sistemas de cierre de puertas electrónicos, de reservación y de pago, todo al mismo tiempo y el resultado fue la imposibilidad de crear y/o modificar llaves electrónicas para acceder a las habitaciones, confirmar las reservaciones de los huéspedes recién llegados al hotel ni procesar transacciones de pago electrónico a través de tarjetas de crédito.
Inmediatamente el equipo de TI se dio cuenta que el hotel había sido víctima de un ataque de ransomware que cifró todos los sistemas informáticos del hotel y como consecuencia paralizó toda la operación del mismo. Los delincuentes tomaron el control completo de toda la infraestructura de TI dejando al personal del hotel literalmente impotente y sin capacidad de poder arreglar el problema.
Es importante mencionar que, contrariamente a lo que reportaron la mayoría de los medios de información, afortunadamente nadie se quedó atrapado o afuera de su habitación por dos razones: la primera, es que todos los huéspedes se encontraban afuera de la estructura esquiando, y la segunda, muy importante, es que las estrictas regulaciones en tema de seguridad física obligan que las cerraduras electrónicas puedan abrirse de forma manual desde el interior de la habitación y que, además, están diseñadas para enfrentar los apagones.
Habían únicamente dos formas para salir de esa situación tan absurda:
- Reiniciar todos los equipos a través de un respaldo
- Pagar el “rescate” y obtener así la llave para descifrar los sistemas por parte de los ciberdelincuentes
Que creen, no tenían ningún respaldo….
La única solución rápida a corto plazo fue rendirse y pagar a los delincuentes la cantidad de 2 BitCoins (alrededor de 1,500€ – $35,000 pesos). Una vez realizado el pago se entregó la clave de cifrado y todos los sistemas fueron desbloqueados y se pudieron reanudar todas las operaciones del negocio en pocos minutos.
¿Fue todo? Por supuesto que no…
A pesar de que el hotel accedió pagar lo que pedían los delincuentes, estos últimos dejaron una puerta trasera (un punto de acceso para poder volver a entrar a la infraestructura del hotel en futuras ocasiones) con el objetivo de concretar otros ataques similares. Se dieron cuenta porque, unas semanas después, hubo otro intento de ataque pero en esta ocasión el personal de TI tuvo el tiempo de desconectar los equipos de la red.
Se desconoce el motivo de esta “furia” en contra de este bonito hotel, a lo mejor los criminales se hospedaron ahí y recibieron un mal trato y por eso quisieron desquitarse…no lo sabemos; posteriormente a los hechos, la gerencia del hotel comentó que no ha sido la primera vez que han sido víctima de un ataque, esto tal vez confirma la hipótesis de que los trataron mal!
La gerencia tomó la decisión de hacer pública la noticia del ataque para concientizar sobre el riesgo de estas acciones. Christopher Brandstaetter, además, habló sobre las consecuencias del ataque que sufrieron:
- La restauración de los sistemas costó miles de euros al hotel y que éste último no obtuvo ningún reembolso por parte de la compañía de seguro porque no se pudo encontrar a ninguno de los culpables.
- El hotel estaba completamente lleno, a la gerencia no le quedó de otra que pagar, ni siquiera el seguro o la policía pueden ayudar en casos como estos.
- El hecho de pagar a los criminales, lamentablemente fomenta a que continúen con éste tipo de actividades.
El análisis
¿Pudo haberse evitado este ataque?
Respuesta breve: si.
¿Cómo entraron a los sistemas del hotel?
Lo primero que llama la atención es que a pesar de que el hotel sufrió otros ataques en el pasado, no tomaron ninguna medida de seguridad para mitigar los riesgos. En este caso específico, no se hizo público como los atacantes lograron implantar el ransomware, pero aunque no contamos con esta información, las opciones más viables son:
- A través de alguna vulnerabilidad en algún punto de la infraestructura TI (servidores web, de correo electrónico, de aplicaciones web)
- Por correo electrónico, enviando una liga a algún empleado y éste último dio click abriendo las puertas a la infección (phishing – ingeniería social)
Prevención y recomendaciones
Actualmente la industria, viendo la creciente necesidad de poner un alto a este tipo de ataques, está desarrollando soluciones anti-ransomware. Entre las soluciones disponibles se encuentra la de MalwareBytes, aunque se trata de una versión beta.
Entre las herramientas más eficaces en este tipo de casos se encuentra el análisis de vulnerabilidades para poder detectar posibles puntos de entrada a su infraestructura TI y poder así remediar a tiempo las fallas de seguridad.
Contar con una política de respaldo adecuada tal vez no sea la solución más rápida en casos de emergencia (la restauración completa de un sistema puede tomar horas o hasta días, dependiendo de la cantidad de información), pero es la medida más efectiva que permite no ceder a los chantajes de los delincuentes.
Concientizar a los empleados de su empresa sobre la peligrosidad de abrir correos electrónicos y/o dar click en las ligas de dudosa procedencia. Cuando los delincuentes no pueden desde el lado técnico, adoptan otra estrategia: el factor humano representa el anillo más débil de la seguridad informática.
Si quieres evitar ser el siguiente de la lista de hoteles víctima de ataques ransomware, agenda ya tu análisis de vulnerabilidades!
Ad maiora!