En la mañana del pasado viernes 12 de mayo se hizo pública la noticia del ciberataque sufrido por Telefónica. Durante todo el día fueron muchos los nombres de empresas que se iban añadiendo a la lista de víctimas del ciberataque, aunque algunas de ellas lo desmentían con posterioridad.
El Ministerio de Energía, Turismo y Agenda Digital, a través del Instituto Nacional de Ciberseguridad (Incibe), informaba el mismo viernes que a nivel mundial se estaba produciendo una infección masiva de equipos tanto personales como de organizaciones. La infección era producida por un ransomware, un virus que “secuestra” los datos del ordenador y pide un rescate para liberarlos. Dicha infección suponen que se produjo a partir de un correo electrónico de phishing, por algún fichero adjunto que se descargó en alguno de los ordenadores de las empresas infectadas, y desde allí, aprovechando una vulnerabilidad del sistema operativo Windows, se podía haber propagado por la red de la empresa a otros ordenadores así como dispositivos móviles.
Según los análisis realizados dicho ransomware es un WanaCrypt0r, una variante del ya conocido WCry/WannaCry. Y ya es el segundo ciberataque realizado mediante ransomware en las dos últimas semanas, después del que se produjo mediante correos de phishing con ficheros de Google Doc infectados.
Este viernes desde el primer momento en Telefónica se dieron instrucciones a los trabajadores de apagar los ordenadores y no encenderlos hasta nueva orden, para evitar la propagación a través de la red de la empresa.
En cuanto se conoció la noticia del ciberataque sufrido por Telefónica, saltaron todas las alarmas y empezaron a circular mensajes en whatsapp avisando del peligro de abrir correos electrónicos emitidos por telefónica y otras empresas supuestamente víctimas del mismo virus. Enseguida desde Incibe se informó con una nota de prensa(1) que el ataque había afectado puntualmente a ordenadores de trabajadores de varias empresas, pero que no afectaba a la prestación de servicios, ni a los usuarios de dichos servicios. A continuación informaban que conjuntamente con diferentes administraciones se había elaborado un diagnóstico sobre el ciberataque y sus consecuencias, y estaban ayudando a solventar la situación así como a otras compañías no afectadas hasta el momento a prevenir ser víctimas del mismo ransomware WanaCrypt0r.
Ciberataques también a hospitales de Reino Unido
También el mismo viernes se conocía que 16 hospitales y centros de salud de Reino Unido estaban siendo víctimas también de un ciberataque, aunque en principio se desconocía si era el mismo ataque que estaban sufriendo Telefónica y otras empresas españolas. El virus impidió que los profesionales médicos pudieran entrar a sus ordenadores a consultar tanto el horario de visitas, como la ficha de los pacientes, lo que provocó desvíos de pacientes de urgencias a otros centros, cancelaciones de visitas o operaciones programadas, así como que los médicos tuvieran que usar papel y bolígrafo para poder realizar sus visitas con aparente normalidad. Desde un primer momento se informó que la confidencialidad de la información médica de los usuarios no se vio en ningún momento afectada, pero si el funcionamiento normal de los centros médicos.
Otros servicios afectados fue la empresa Internacional FedEx, así como el Ministerio de Interior ruso, y una compañía de telecomunicaciones también rusa (la segunda más importante de móviles del país), MegaFon. En la página Beta de Malwareint podéis hacer un seguimiento de los ataques producidos en tiempo real: https://intel.malwaretech.com/botnet/wcrypt.
En resumen, podemos estar hablando de uno de los primeros ciberataques que se ha lanzado a nivel internacional, y esto es sólo el principio, más argumentos en pro los que insisten en que estamos viviendo la Tercera Guerra Mundial, la Primera Ciberguerra Mundial.
Últimas noticias de Incibe sobre los ciberataques producidos
Este domingo 14 de mayo Incibe publicaba una actualización informativa(2) sobre las últimas noticias relacionadas con los ciberataques producidos el viernes. En ella informaban que después de la investigación realizada hasta el momento han podido confirmar que existen al menos dos variantes del virus WanaCrypt0r, de momento y a la espera de una denominación internacional las han llamando WannaCrypt.A y WannaCrypt.B. Respecto a la primera variante A, se estiman en más de 100.000 los equipos infectados por ella, en un total de 166 países. Sobre la segunda, la B, comentan que es la que afectó a Telefónica, pero aun no existen datos disponibles sobre su impacto a nivel internacional.
Por último insisten en las recomendaciones a seguir para evitar ser víctimas de ransomware:
– Actualizar los dispositivos con los parches de seguridad que vaya publicando el fabricante.
– Desconfiar de los correos electrónicos recibidos de destinatarios desconocidos, no abrir ningún archivo adjunto ni clicar en enlaces que contengan, así como no contestarlos.
– Precaución ante los enlaces recibidos también en mensajería instantánea y redes sociales, aun que sean de contactos conocidos.
– Disponer de antivirus/antimalware y cortafuegos actualizados.
– Realizar copias de seguridad periódicas de la información sensible o importante de nuestros dispositivos, para permitir la posterior recuperación en caso de pérdidas fortuitas o ciberataques sufridos.
Vacuna de CCN-CERT ante el ransomware
El Computer Emergency Response Team del Centro Criptológico Nacional ha publicado también este domingo 14 de mayo un informe(3) con el análisis preliminar del ciberataque de ransomware de WanaCrypt0r iniciada el pasado viernes 12, así como una herramienta para prevenir la infección por éste. Llamada “CCN-CERT NoMoreCry Tool”, la aplicación impide la ejecución del ransomware antes de que el dispositivo esté infectado. (Si éste ya ha sido infectado no es útil.)
¿Fuiste víctima de este ciberataque?
Si tienes algún correo que sabes que es malicioso, compártelo con la gente para poder frenar estas acciones delictivas
Formación relacionada
Visita nuestra área de Ciberseguridad.
Fuentes referenciadas:
(1)https://www.incibe.es/sala-prensa/notas-prensa/nota-informativa-los-ciberataques-varias-companias
(2)https://www.incibe.es/sala-prensa/notas-prensa/actualizacion-informativa-los-ciberataques-producidos
(3)https://www.ccn-cert.cni.es/en/updated-security/ccn-cert-statements/4488-informe-del-ransomware-de-la-familia-wannacry-que-incluye-medidas-para-su-deteccion-y-desinfeccion.html
Fuentes consultadas:
https://www.certsi.es/alerta-temprana/avisos-seguridad/oleada-ransomware-afecta-multitud-equipos
https://www.incibe.es/sala-prensa/notas-prensa/actualizacion-informativa-los-ciberataques-producidos-jornada-hoy
https://digital.nhs.uk/article/1493/UPDATED-Statement-on-reported-NHS-cyber-attack-13-May-
https://tecnologia.elpais.com/tecnologia/2017/05/12/actualidad/1494602389_458942.html