Un ransomware (del inglés ransom, ‘rescate’, y ware, por software) es un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción.1​ Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate. Fuente: es.wikipedia.org.

En los últimos días, la ciudad de Atlanta ha sufrido un ataque de ransomware. Varios sistemas informáticos importantes que proporcionan servicios de la ciudad han sido encriptados por un atacante. El atacante está demandando $ 51,000 en bitcoins para descifrar los sistemas, y la ciudad aún no descarta pagar el rescate. El ataque ocurrió hace cinco días y, al momento de escribir esto, los sistemas siguen siendo inaccesibles.

Ayer, la alcaldesa Keisha Lance Bottoms realizó una conferencia de prensa para conversar sobre el problema. Hasta ahora, el alcalde y su equipo parecen estar haciendo un gran trabajo al armar una respuesta coordinada y múltiple para lidiar con el incidente.

Lo que me sorprendió de la conferencia es que era el tipo de conferencia que una ciudad sostiene cuando se trata de un desastre físico. El alcalde realmente lo describió como una «situación de rehenes» hacia el final de la conferencia. Este es el impacto tangible de un ataque cibernético en un gobierno local.

La ciudad de Atlanta está trabajando con el Servicio Secreto, el FBI, el Departamento de Seguridad Nacional y las instituciones académicas y privadas, incluidas Georgia Tech y SecureWorks. Han completado la fase de investigación y contención de la respuesta al incidente y han pasado a la fase de restauración donde trabajan para volver a poner en funcionamiento los sistemas críticos, pero en este momento los sistemas afectados aún están encriptados.

Muchos de los sistemas de Atlanta han estado inactivos durante cinco días, aunque los sistemas críticos tales como policía, bomberos, rescate, 911, servicios de agua y aeropuertos están operativos y continúan sin interrupción. Los departamentos afectados incluyen:

Departamento de Planificación de la Ciudad y Oficina de Edificios: los tiempos de procesamiento son más largos de lo normal.

Oficina de Zonificación y Desarrollo: los tiempos de procesamiento son más largos de lo normal.

Oficina de Vivienda y Desarrollo Comunitario: la oficina no está disponible para procesar las solicitudes de desembolso.

Tribunal Municipal: El Departamento de Corrección ha cambiado a un sistema de venta de entradas manual para los acusados ​​que han sido arrestados y detenidos. No se generará una «falta de comparecencia» para el tribunal en este momento y todos los casos se restablecerán.

Departamento de Administración de cuencas hidrográficas: los pagos de facturas en línea y los pagos de facturas en persona disminuyeron.

Mayor Bottoms ha descrito esto como: «Más grande que un ataque de ransomware». Este es un ataque a nuestro gobierno, que lo convierte en un ataque contra todos nosotros «. Ella continúa diciendo que» lo que ha sido atacado es la infraestructura digital». Como funcionarios electos, tendemos a enfocarnos en las cosas que la gente ve. Pero debemos asegurarnos de que nos centremos en las cosas que la gente no puede ver y la infraestructura digital es muy importante».

Actualmente, la ciudad no tiene un tiempo estimado para cuándo volverán a funcionar todos sus sistemas. Están trabajando día y noche, y en realidad están preocupados de que parte del equipo que ha respondido a este incidente pueda agotarse, por lo que también están gestionando ese aspecto de la tarea.

Han confirmado que fue un ataque remoto que comprometió sus sistemas. La ciudad se informa, golpeado por el ransomware SamSam. Esta variante de ransomware ha convertido a los atacantes en $ 850,000 desde diciembre de 2017. Según CSO Online, la ciudad tenía muchos servicios expuestos al público, lo que podría haber proporcionado un atacante con un punto de entrada, incluyendo «puertas de enlace VPN, servidores FTP e instalaciones IIS». . «Muchos servicios tenían habilitado SMBv1, que tenía problemas de seguridad conocidos.

Una cosa que encontré interesante sobre los comentarios del alcalde fue una analogía que ella usó. Ella usa como ejemplo un camión viejo que tenía. Ella no pensó que tenía que reemplazarlo hasta que estuvo en un desastre. Y luego tuvo que reemplazarlo. Su analogía deja en claro que la ciudad debería haber actualizado su postura de seguridad antes de que ocurriera este incidente, y ahora que ha ocurrido, se ven obligados a tomar medidas para resolver el problema y asegurar sus sistemas en el futuro, pero a un gran costo e inconveniencia.

Creo que esta es una lección valiosa, y algo que los propietarios de sitios de WordPress deberían tener en cuenta. Es importante ser proactivo cuando se trata de proteger sus sistemas y educarse acerca de la ciberseguridad. No espere hasta que lo pirateen antes de tomar medidas. Si tiene un sitio web de WordPress, instale un escáner de malware y firewall como Wordfence y use nuestro blog , centro de aprendizaje y documentación de Wordfence para fortalecerse y proteger su sitio web. También hemos escrito sobre el ransomware como una amenaza emergente para WordPress en el pasado .

Ransomware se dirige principalmente a sistemas de escritorio. Para proteger su hogar u oficina de un ataque de ransomware, siga estos pasos:

Asegúrese de tener copias de seguridad periódicas y de que esas copias de seguridad estén fuera de línea. No deben ser accesibles desde la estación de trabajo que se está respaldando para garantizar que el ransomware tampoco pueda cifrar sus copias de seguridad cuando se infecte.

Instale los últimos parches de seguridad para Windows, OSX, Android, iPhone y cualquier otro sistema operativo que utilice. Junto con las copias de seguridad, esto es lo más eficaz que puede hacer para protegerse.

Instale las actualizaciones de la aplicación , especialmente las actualizaciones del navegador. Asegúrese de que no está ejecutando un viejo navegador vulnerable, o simplemente visitar un sitio web comprometido puede infectarlo.

Instale una solución antivirus de escritorio y asegúrese de que haya actualizado las firmas de virus o, alternativamente, habilite Windows Defender, que es gratis.

No abra archivos adjuntos ni archivos descargados de fuentes que no sean de confianza. Evita usar archivos adjuntos completamente si puedes, y utiliza servicios en la nube como Google Docs en su lugar.

No haga clic en enlaces en correos electrónicos de personas en las que no confía.

Fuente original texto e imagen (en inglés): PSA: Lessons From The Atlanta Ransomware Situation

Por admin

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.