tecnologÍa

Un ciberataque tipo ‘WannaCry’ tumba los sistemas de Cadena Ser y otras empresas españolas

El Departamento de Seguridad Nacional del Gobierno de España ha confirmado los ataques, que afectó también a consultoras tecnológicas
CIBERATAQUE EVERIS 2
CIBERATAQUE EVERIS 2
Imagen del mensaje que ha aparecido en las pantallas de los equipos de Everis

Varias empresas españolas están sufriendo en la mañana de este lunes 4 de noviembre un ciberataque que está inutilizando algunos de sus sistemas informáticos. Al parecer, se trata de un ataque de ransomware similar al que afectó a mediados de 2017 a Telefónica y otras empresas, denominado ‘WannaCry’.

Los ciberataques confirmados a esta hora afectan a la consultora tecnológica Everis, así como a la Cadena SER, que ha emitido un comunicado esta mañana: “En este momento, la emisión de la SER queda garantizada desde su sede central en Madrid, apoyada en equipos autónomos”, ha afirmado la emisora, que ha añadido también que “los técnicos trabajan ya para la recuperación progresiva de la programación local de cada una de sus emisoras”.

Inicialmente se había propagado el rumor de que otra consultora, Accenture, se había visto también afectada por el ataque, pero la propia compañía lo ha desmentido a través de un mensaje publicado en su cuenta de Twitter, algo que también ha hecho la firma KPMG.

En el caso de Everis, se ha publicado en redes sociales una imagen del pantallazo que se ha mostrado en algunos de los ordenadores de la consultora y que muestra el siguiente mensaje en inglés: “Hola Everis, tu red ha sido hackeada y cifrada. No hay software gratuito para el descifrado. Envía un email a —@protonmail.com o —@tutanota.com para saber la cantidad del rescate”. La compañía ha enviado un comunicado a todos sus empleados para que mantengan sus ordenadores apagados hasta nuevos aviso.

https://twitter.com/somospostpc/status/1191303959585198080

EL GOBIERNO LO CONFIRMA

El Departamento de Seguridad Nacional del Gobierno de España ha emitido un comunicado confirmando los ataques: “Se han estado produciendo infecciones por malware tipo ransomware a empresas estratégicas en España. Este malware provoca el cifrado de archivos de los ordenadores infectados solicitando a continuación un rescate que oscila entre 300$ y 600$ en BitCoins para poder recuperarlos”.

Aparentemente no se trata de un ataque dirigido contra estas compañías sino un lanzado de forma masiva que afecta a equipos vulnerables de todo el mundo.

“Este ciberataque no afecta a la prestación de servicios, ni a la operativa de redes, ni a los usuarios de dichos servicios. Sólo ha afectado puntualmente a equipos informáticos de trabajadores de varias compañías”, añaden.

Se trata de un malware del tipo ransomware que actúa sobre la vulnerabilidad de los componentes de ofimática de los odenadores, cifrando todos los archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas de Windows que haya en esa misma red. Tras instalarse en el equipo, bloquea el acceso a los ficheros del ordenador afectado y pide un rescate. La vía de infección parece ser un fichero adjunto a un correo electrónico. No compromete la seguridad de los datos ni se trata de una fuga de datos.

Por su parte, el Instituto Nacional de Ciberseguridad (INCIBE-CERT) ha asegurado que su equipo de respuesta de ciberseguridad trabaja “en estos momentos en la mitigación y recuperación del incidente en coordinación con las empresas afectadas y las empresas de ciberseguridad que les dan soporte”.

Para evitar este tipo de ataques, que cada vez resultan más rentables para los delincuentes, INCIBE recomienda no pagar nunca el rescate, ya que este no garantiza la recuperación de los archivos, sino reportarlo al correo incidencias@incibe-cert.es acompañado de capturas de pantalla y dos archivos infectados.

Además, si la incidencia afecta a datos de carácter personal, la empresa debe informar de ello a sus clientes en un plazo de 72 horas, como establece el Reglamento General de Protección de Datos (RGPD) que entró en vigor en 2018.

La compañía de ciberseguridad Panda Security ha comentado que para este “ataque masivo en España” existen tres posibles vías de entrada. El primero de ellos es que se trate de una campaña de spam.

La empresa ha tenido acceso a la nota de rescate recibida por los clientes externos afectados, y ha asegurado que tiene un alto grado de similitud con la usada por el ransomware *BitPaymer, utilizado para campañas de envío de spam.

“Las víctimas podrían ser empresas que se vieron afectadas por algunas de las campañas de spam que se lanzaron las semanas previas, cuyo objetivo era infectar las máquinas con el malware EMOTET”, ha explicado Panda, aunque por el momento no dispone de confirmación.

Las otras dos posibilidades que se barajan es que el ataque se deba a la vulnerabilidad BlueKeep, que afecta a Protocolo de Escritorio Remoto de Windows y que fue parcheada en mayo por Microsoft, o bien que se trate de una vulnerabilidad en Microsoft Teams, que usa el proceso para descargar y ejecutar un malware.

TE PUEDE INTERESAR