Tener nuestros sistemas operativos al día en seguridad es vital hoy en día, ya que, si nuestro ordenador tiene un fallo no parcheado, puede ser susceptible de ser hackeado. Esto lo vimos con WannaCry a raíz de la publicación de la herramienta que se aprovechaba de una vulnerabilidad de día cero no parcheada en Windows, extendiendo un ransomware por la red interna de cientos de empresas. Ahora, un ataque muy parecido usando la vulnerabilidad BlueKeep ha tumbado a la Cadena SER y a otras empresas.
BlueKeep: el malware tipo WannaCry
En el caso de la SER, la cadena de radio ha emitido un comunicado en el que ha informado que ha sido víctima de un ciberataque esta madrugada que se ha extendido por sus dispositivos. El malware en concreto es un ransomware que ha cifrado el contenido de todos los ordenadores que había encendidos, ya que se ha extendido a través de la red interna.
Siguiendo el protocolo establecido para este tipo de ciberataques, la SER ha desconectado todos los ordenadores y sistemas informáticos que tenían operativos en ese momento, donde han confirmado que actualmente están trabajando con equipos autónomos para evitar que la infección se extienda. Si recordamos lo ocurrido con WannaCry, este malware puede replicarse por todo ordenador que tuviera visible dentro de una red y que no tuviera instalado el parche de seguridad que en aquel entonces había lanzado Microsoft semanas antes de producirse el ataque, lo que hizo que muchos ordenadores no estuvieran todavía al día de las actualizaciones.
De momento habría otras empresas afectadas por el mismo ataque de ransomware, como Everis, además de otras consultoras que posteriormente han confirmado que no habían sido atacadas o infectadas. El malware estaría relacionado con BlueKeep, un ataque descubierto en mayo de 2019 que ha tenido bastante actividad en verano y que ha sufrido un repunte en los últimos días, y que se aprovecha de una vulnerabilidad en la herramienta de Escritorio Remoto de Windows.
Los ordenadores han sido infectados con ransomware
En la siguiente imagen podemos ver alguno de los mensajes que están apareciendo en los ordenadores afectados, donde además están personalizados para la empresa que ha sufrido el hackeo. En la imagen se pide un rescate en criptomonedas cuya cifra no se especifica (requiriendo que se contacte por email para conocerla), y además se alerta de que no hay ninguna herramienta todavía capaz de descifrar el contenido cifrado por el ransomware.
https://twitter.com/somospostpc/status/1191303959585198080
Por ello, no sería raro que hubiera más empresas afectadas, e iremos actualizando la noticia conforme vayan conociéndose más nombres. Microsoft lanzó un parche para BlueKeep en mayo de 2019, pero es probable que muchos ordenadores no estén al día con esas actualizaciones, por lo que son completamente vulnerables ante ello. De momento las empresas afectadas no tendrán más remedio que formatear los ordenadores o esperar a que se publique una herramienta que descifre los datos.
Actualización a las 13:30: KPMG afirma que no ha sido infectada. Los atacantes estarían pidiendo 1,5 millones de euros en concepto de rescate. Se habla también de que sería iEncrypt quien se habría aprovechado de una vulnerabilidad de día cero en el componente Bonjour Update de Windows que se usa para usar el MTP en conexiones móviles para realizar el ataque.
Arnau Estebanell Castellví@ArnauEstebanellSnippet de la imagen que os comentaba. No puedo subir más pero os aseguro que es una foto de una pantalla de ordenador (ergo dudo que haya sido manipulada) y que hay muchos más archivos así. #ransomware #cybersecurity https://t.co/xDzdI11XfB04 de noviembre, 2019 • 13:06
33
1