L¡¯atac de ¡®ransomware¡¯ s¡¯est¨¦n a escala global

El virus inform¨¤tic (conegut com malware) que ha atacat el mat¨ª d'aquest divendres els equips de la seu de Telef¨®nica a Madrid ha arribat ja a diverses desenes de pa?sos. El programari del tipus ransomware, que fa el segrest expr¨¦s de dades i demana un rescat per alliberar el sistema, ha infectat diferents empreses i institucions a Espanya, Taiwan, R¨²ssia, Portugal, Ucra?na, Turquia i el Regne Unit ¡ªen aquest ¨²ltim, el virus ha col¡¤lapsat el Servei Nacional de Salut¡ª, segons informen les companyies de ciberseguretat s21sec i Check-point. En una piulada, Costin Raiu, el director global de l'equip d'investigaci¨® i an¨¤lisi de Kaspersky Lab, una empresa de seguretat inform¨¤tica, afirma que s'han registrat m¨¦s de 45.000 atacs en 74 pa?sos. Fins al moment, l'atac no ha afectat infraestructures cr¨ªtiques.

Aquest tipus de virus, que en ser executats aparenten ser inofensius i imiten altres aplicacions, ¨¦s el m¨¦s habitual i representa el 72,75% del malware, segons els ¨²ltims informes de les companyies Kaspersky Lab i PandaLab . Les an¨¤lisis de l'Institut Nacional de Ciberseguretat (Incibe) demostren que el programari malici¨®s que ha provocat el ciberatac a escala global ¨¦s un WanaCrypt0r, una variant de WCry/WannaCry. Despr¨¦s d'instal¡¤lar-se a l'equip, aquest virus bloqueja l'acc¨¦s als fitxers de l'ordinador afectat i demana un rescat, i pot infectar la resta d'ordinadors vulnerables de la xarxa. WanaCrypt0r xifra arxius del disc dur amb extensions com .doc .dot .tiff .java .psd .docx .xls .pps .txt o .mpeg, entre d'altres, i augmenta la quantia del rescat a mesura que passa el temps. "El xifrat dels arxius prossegueix despr¨¦s de l'aparici¨® de la nota d'extorsi¨®, al contrari que en altres atacs, que no mostren la nota fins que el xifrat s'ha completat", explica Agust¨ªn M¨²?oz-Grandes, CEO de s21Sec. ¡°Aquest tipus d'atacs afecta tothom, per¨° hem vist com els delinq¨¹ents intenten atacar les empreses, ja que posseeixen informaci¨® valuosa per la qual estan disposats a pagar un rescat¡±, indica l'estudi de Panda. Alguns experts en ciberseguretat, com Jakub Kroustek, afirmen a les xarxes socials que han rastrejat fins a 50.000 atacs de WannaCry. Aquest mateix expert assegura en el blog de la seva companyia, Avast, que van observar la primera versi¨® d'aquest virus al febrer i que han trobat el missatge de rescat escrit en 28 idiomes. Segons Eusebio Nieva, director t¨¨cnic de Check-Point a Espanya i Portugal, el ransomware ¨¦s l'estrat¨¨gia m¨¦s utilitzada per atacar les grans empreses. "Els hackers demanen que el rescat es faci a trav¨¦s d'un pagament digital que no es pugui rastrejar", diu Nieva. L'expert explica que aquest programari maligne pot arribar a un sistema de manera simple, des d'un correu electr¨°nic amb una factura falsa, per exemple, fins a una t¨¨cnica coneguda com watering hole, que en el cas de les grans companyies, infecta una p¨¤gina (generalment de la xarxa intranet) a la qual els treballadors o usuaris accedeixen amb freq¨¹¨¨ncia. "Aquesta ¨¦s la forma m¨¦s r¨¤pida per a una distribuci¨® massiva", afirma.

L'expert assenyala, no obstant aix¨°, que el pagament d'un rescat no ¨¦s garantia que es pugui recuperar la informaci¨® xifrada pel virus: "La possibilitat ¨¦s d'entre 30% i 40%". Per¨°, com ¨¦s possible protegir-se d'aquests atacs? L'expert sost¨¦ que, en l'era en qu¨¨ els malware han deixat de ser obra d'atacants individuals per convertir-se en una xarxa industrialitzada que genera diners, els tradicionals programes d'antivirus ja no s¨®n suficients. Els m¨¦s capdavanters de protecci¨®, segons Nieva, s¨®n els programes d'anti-APP o sandboxing, que rastregen el comportament del sistema o de la xarxa d'informaci¨®, identifiquen qualsevol programari malici¨®s i l'eliminen.

"El sandboxing ¨¦s el que funciona m¨¦s b¨¦. Quan arriba un document per correu, per exemple, el sistema l'obre en un entorn virtual i si detecta alguna cosa sospitosa, l'elimina abans que arribi a l'usuari", explica l'expert. El problema, segons l'expert, ¨¦s que es tracta d'un model recent i moltes empreses els utilitzen simplement com un sistema de detecci¨® en comptes de protecci¨®.

El Govern d'Espanya ha em¨¨s un comunicat en el qual orienta els possibles afectats a aplicar els ¨²ltims pegats de seguretat publicats en els butlletins de maig.

Com actua aquest ransomware

Despr¨¦s de xifrar els fitxers del disc dur, WanaCrypt0r canvia el nom de les extensions dels arxius afectats per .WNCRY. Despr¨¦s, el virus fa saltar a la pantalla el missatge seg¨¹ent: "Ooops, els teus arxius importants estan encriptats" i sol¡¤licita el rescat de 300 d¨°lars (274 euros, aproximandament) en bitcoins (un tipus de moneda digital) per alliberar-los. El missatge inclou instruccions sobre com fer el pagament i un cron¨°metre.

"Aquest atac demostra una vegada m¨¦s que el ransomware ¨¦s una poderosa arma que pot utilitzar-se contra els consumidors i les empreses per igual. El virus es torna particularment desagradable quan infecta institucions com hospitals, on pot posar la vida de les persones en perill", afirma Avast en un comunicat.