Ransomware és un anglicisme que, per circumstàncies òbvies, ja tots coneixem. Els ciberatacs a través de segrest de dades estan a l’ordre del dia i són diverses les empreses que els han sofert en els últims mesos. Evitar un atac ransomware és gairebé impossible, però sí que és possible reduir les conseqüències de l’atac al màxim possible.
Com es redueix la repercussió d’un atac cibernètic d’aquesta tipologia? Simple. Amb còpies de seguretat especialitzades en aquesta mena d’atacs. Còpies de seguretat Antiransom, còpies immutables i inaccessibles, que permetin restaurar la informació corporativa sense sobresalts i, evidentment, sense haver de recórrer al rescat econòmic de les dades d’empresa.
Durant el 2021 i inicis del 2022 hem pogut conèixer diversos atacs ransom a empreses prestigioses del territori nacional. A continuació, un resum dels atacs més coneguts d’aquesta tipologia:
1. El sonat ciberatac ransom d’Estrella Damm
La cervesera Damm va patir al novembre de 2021 un atac informàtic que va afectar principalment la seva fàbrica situada al Prat del Llobregat, la més gran de la companyia, arribant a detenir la producció d’aquesta. Es va tractar d’un atac de ransomware (segrest de dades o d’accés als sistemes informàtics). Aquest fet es coneixia tres dies després del ciberatac del mateix tipus a MediaMarkt, que va afectar botigues en diversos països europeus, entre els quals es trobava Espanya.
La distribució de la companyia cervesera no es va veure afectada, en comptar amb provisions suficients, però sí que va haver de detenir la seva producció a causa d’aquest ciberatac. En el cas d’Estrella Damm l’època en què va ocórrer – menor consum del seu producte – va beneficiar la recuperació de la normalitat. No obstant això, va ser un dels casos més coneguts l’any passat i que va fer reflexionar sobre la necessitat de tenir cobertura i eines de seguretat i recuperació de dades davant atacs ransomware.
2. Iberdrola: afectada per un atac ransomware
Iberdrola és el cas més recent de grans empreses conegudes a Espanya que han sofert un ciberatac amb segrest de dades. L’Institut Nacional de Ciberseguretat (Incibe) alertava dijous passat, 31 de març, que l’empresa I-DE Xarxes Elèctriques Intel·ligents, distribuïdora d’electricitat del grup Iberdrola, havia estat atacada. En aquest cas l’atac ha deixat exposats les dades d’usuaris: DNI, domicilis, telèfons i adreces de correu electrònic.
En un comunicat oficial de l’empresa als seus clients detalla que dades financeres com ara els números de compte corrent o targetes de crèdit no han estat vulnerats. Tampoc el consum elèctric dels clients. Després de l’atac ransomware a l’empresa, aquesta ha posat en marxa mesures per a mitigar l’impacte i evitar que torni a succeir en un futur.
3. Atac ransomware al Servei Públic d’Ocupació Estatal
El sistema informàtic del Servei Públic d’Ocupació Estatal (SEPE) va ser víctima al març de 2021 d’un atac de segrest de dades que va impedir l’accés al lloc web i va paralitzar l’activitat en línia de l’entitat pública. L’equip tècnic del SEPE va treballar per a recuperar la normalitat i es va habilitar una línia telefònica per rebre informació d’aquest incident.
L’atac informàtic va afectar tot el sistema informàtic de l’organisme. Un segrest exprés de dades que va afectar 710 oficines del SEPE que presten servei presencial i a 52 que ho fan telemàticament. Una paralització del treball que va afectar no solament la productivitat dels seus empleats, sinó el temps dels usuaris finals. La recuperació de la normalitat va trigar dues setmanes a arribar, amb les implicacions burocràtiques que això va suposar, especialment per a nous demandants de prestacions.
Només tres mesos després de patir el major ciberatac dels últims anys, el Ministeri de Treball va tornar a sofrir un ciberatac amb la mateixa tècnica. Un segrest dels sistemes per part del ransomware Ryuk, amb una sol·licitud de rescat econòmic per alliberar-los.
4. El transparent segrest de dades de Mapfre
A l’agost de 2020 l’asseguradora Mapfre va reconèixer ser víctima d’un atac informàtic de tipus ransomware. Va ser de les primeres empreses a reconèixer amb transparència el tipus d’atac i com estaven tractant de solucionar-lo.
Segons l’AEPD i la cronologia de l’atac presentada per l’empresa, en algun moment l’atacant va obtenir les credencials d’una col·laboradora externa que accedeix al seu lloc de treball de manera virtual. L’ús d’escriptoris virtuals va augmentar considerablement amb la pandèmia, sense estar moltes corporacions prou protegides.
La hipòtesi més probable és un cas de phishing, a través del qual l’atacant va infectar de codi maliciós l’ordinador particular de l’empleada i, posteriorment, va capturar la contrasenya quan aquesta va accedir al lloc virtual en Mapfre.
L’1 d’agost va tenir lloc el primer accés i durant els dies posteriors es produeixen diversos accessos des de diferents països i intents de connexió a altres servidors i equips per obtenir les credencials d’usuaris amb perfils d’administració superiors. El 7 d’agost l’atacant va obtenir les credencials d’un dels administradors de domini i va tractar d’extreure informació després d’analitzar la xarxa.
El 14 d’agost a les 21.00 h, en només 7 minuts, la companyia detecta fallades en diverses aplicacions i s’activa el protocol d’Alt Impacte. El Centre de Control General de l’asseguradora rep les primeres trucades. No és fins a les 4 de la matinada quan s’aconsegueix identificar el ransomware i s’envia a analitzar a un tercer, que detecta el codi maliciós i comença a desinfectar els equips.
L’endemà Mapfre contacta amb l’Institut Nacional de Ciberseguretat, amb el CCN-CERT, amb la Direcció General d’Assegurances i Fons de Pensions amb l’objectiu de donar-los detalls del ciberatac. La resolució de l’atac va ser ràpida i eficient i no es van perdre dades de l’empresa, la qual cosa fa reflexionar sobre la necessitat de tenir un equip tècnic eficaç ja sigui intern o extern.
5. El ciberatac ransomware a la UOC que va bloquejar el seu campus virtual
La Universitat Oberta de Catalunya (UOC) va sofrir un atac de tipus ransomware els primers dies de 2022 que va impedir a la seva comunitat l’accés al campus virtual. La institució va anunciar el ciberatac sense afectació a dades personals dels usuaris del campus. En 24 hores van ser capacços de restablir l’activitat docent i va afectar principalment l’àrea de gestions acadèmiques.
L’atac de la UOC va venir just després del sofert per la Generalitat i el de la Universitat Autònoma de Barcelona. En el segon cas, la normalitat no es va poder recuperar durant setmanes i va afectar la informació i dia a dia de més de 50.000 persones.
En conclusió, els atacs de tipus ransomware no són fàcilment evitables. A través de diferents mètodes com el phishing, l’atacant pot accedir a les dades de l’empresa. Ara bé, és molt important estar preparats i disposar de les eines de seguretat adequades per no patir grans pèrdues per a l’empresa.
Proveïdors informàtics com OnWork IT & Cloud, el principal objectiu dels quals és la seguretat de les dades de les empreses, són fonamentals en el pla de ciberseguretat de qualsevol empresa: de la més petita a la més gran.