Ciberatac global contra empreses i organismes públics de diversos països

BarcelonaUn atac informàtic massiu ha infectat desenes de milers d'ordinadors d'organismes públics, governs i grans empreses de fins a 74 països, segons ha piulat el director de l'equip de recerca global i anàlisi de la multinacional russa de la ciberseguretat Kaspersky, Costin Raiu. La xifra és aproximada i creix a tota velocitat: l'empresa d'antivirus Avast parla de com a mínim 57.000 màquines infectades arreu del món. El responsable del ciberatac és un 'ransomware' -programari maliciós de rescat- conegut com a WannaCry, encara que la variant concreta que s'està escampant és WanaCrypt0r 2.0 i podria fer servir una vulnerabilitat dels sistemes operatius Windows descoberta i utilitzada per l'Agència de Seguretat Nacional (NSA) dels Estats Units.

Una de les primeres alertes ha saltat a Espanya, quan s'ha fet públic que la xarxa interna de Telefónica havia quedat infectada de manera massiva. Els ministeris i els organismes públics dependents de l'Estat han desconnectat els seus ordinadors de la xarxa com a mesura de prevenció, un gest recomanat pels especialistes en aquest tipus de situacions. Espanya no és un dels estats més afectats; segons l'equip de recerca global i anàlisi de Kaspersky, Rússia encapçala el rànquing de màquines infectades. En aquest país, el ministeri de l'Interior i l'operadora Megafon es compten entre els afectats. Entre els organismes perjudicats també destaca el sistema de salut pública del Regne Unit, amb més de 25 hospitals afectats. En aquest mapa de Malware Tech podeu veure els països dels quals es coneixen afectacions:

El programa maliciós que ha infectat desenes de milers de màquines és de tipus 'ransomware': pren el control de l'ordinador de les víctimes i en xifra tots els continguts de manera que queden inaccessibles. L'usuari tan sols veu un avís que li reclama el pagament d'un rescat en 'bitcoins' a canvi de lliurar-li la contrasenya que li permetrà recuperar l'accés al seu propi ordinador i a les dades que hi té. A la pràctica, és un segrest virtual. Habitualment els 'crackers' ('hackers' que només busquen benefici personal) tan sols busquen el benefici econòmic.

Els atacs de 'ransomware' cada vegada són més habituals. L'expert en seguretat informàtica i catedràtic de la Universitat Politècnica de Catalunya Manel Medina diu que només l'any passat van créixer un 800% respecte a l'any anterior. Però aquest últim atac té algunes característiques que el fan diferent d'altres: "Han aprofitat un 'ransomware' que ja existia per afegir-hi la possibilitat que es repliqui ell mateix com ja fan els virus", explica Medina. El WanaCryptor 2.0 arriba a un ordinador tal com ho feia el WannaCry -sovint amb un arxiu infectat en un correu electrònic- però a més és capaç d'escampar-se per tota la xarxa local. El resultat: empreses senceres infectades de manera massiva, com ha passat a Telefónica.

Per escampar-se per la xarxa local el programa fa servir una vulnerabilitat dels sistemes operatius Windows (Vista, Server, 7, 8.1 i 10) per a la qual Microsoft va publicar una solució el 14 de març. Telefónica i les altres empreses afectades haurien pogut evitar la infecció si haguessin actualitzat els sistemes operatius. Medina explica que moltes empreses posen en quarantena les actualitzacions abans d'instal·lar-les, per si no funcionen bé. El consultor en seguretat informàtica José Nicolás Castellano concreta que això sovint es fa per comprovar que les actualitzacions funcionin bé amb la resta de programari que fa servir l'empresa i que no hi hagi incompatibilitats. Segons Castellano una altra de les característiques d'aquest atac és que els 'crackers' que l'han perpetrat han modificat el WannaCry molt ràpidament per aprofitar la vulnerabilitat de Windows, fet que ha provocat que agafés per sorpresa moltes empreses. Medina, a més, recorda que com que el WannaCry ja existia, ja se n'havien fet versions en molts idiomes diferents, i això ha facilitat que la campanya d'infecció afectés molts països alhora.

La vulnerabilitat de què s'haurien aprofitat els creadors de la nova versió del WannaCry afecta el protocol SMB de Microsoft, pensat per a la compartició d'arxius i impressores, explica Castellano. Diversos experts, com el cap de l'equip d'intel·ligència d'amenaces de l'empresa d'antivirus Avast, Jakub Kroustek, la vinculen amb l'Agència de Seguretat Nacional dels EUA (NSA). La NSA hauria fet servir aquest i d'altres '0 day' -vulnerabilitats sense solució coneguda- per espiar ordinadors, segons va filtrar a l'abril el grup de 'hackers' The Shadow Brokers. Els 'crackers' haurien fet servir la informació filtrada sobre com actuava la NSA per aprofitar-la i fer un dels programes maliciosos més agressius dels últims anys.

Tot i la gran quantitat de casos d'infeccions que fan públiques els portals especialitzats, Medina recorda que "les estadístiques indiquen que només el 10% dels atacs informàtics se solen denunciar". I això és contraproduent, avisa, sobretot per les empreses que decideixen no dir-ne res als seus clients. "El millor per evitar danys a la reputació és notificar-ho com més aviat millor per no afectar els clients", recorda. Castellano explica que si el 'ransomware' té el xifratge ben fet -i tot indica que aquest n'és un cas- és molt difícil trencar-lo i l'usuari sovint només pot triar entre pagar o perdre les dades i formatejar l'ordinador. Amb tot, el subdirector de l'Institut Nacional de Ciberseguretat espanyol, Marcos González, ha demanat a les empreses que no paguin els rescats perquè tampoc hi ha cap "garantia" que es pugui recuperar la informació.

Infecció massiva a Telefónica

El govern espanyol ha confirmat l'atac contra diverses empreses, però ha enviat un missatge de tranquil·litat als usuaris en què s'assegurava que no hi ha cap risc per a les seves dades ni la seva seguretat. La més afectada ha estat Telefónica, que ha hagut de demanar als treballadors que apaguessin els ordinadors per mirar de solucionar el problema. No obstant això, fonts de l'empresa asseguren que el virus ha sigut un problema intern i no ha afectat la seva xarxa de clients. Segons s'ha filtrat en diversos grups de 'hackers', a la seu de Madrid també ha sonat un missatge per megafonia que alertava de l'atac. Tot i així, aquest àudio encara no ha sigut confirmat.

Per la seva banda, el Centre Criptològic Nacional-CERT, un organisme que depèn del CNI i que s'encarrega de la gestió de ciberincidents que afecten el sector públic i empreses d'interès estratègic, ha emès un comunicat en què alerta d'una amenaça "de nivell molt alt". Avisa que un "atac massiu de 'ransomware'" afecta "un nombre elevat d'organitzacions espanyoles", tot i que no ha especificat quines són. En concret, l'atac actua en màquines amb sistema operatiu Windows amb una versió del programa maliciós WannaCry, que s'aprofita d'una vulnerabilitat del sistema operatiu coneguda des del 14 de març.

Al Regne Unit, l'afectació més important s'ha produït al sistema de salut britànic, l'NHS, que en un comunicat ha admès que diversos dels seus organismes han estat afectats per un atac que també hauria aconseguit colpir altres empreses del sector. No obstant això, es confia que els pirates no hagin tingut accés a les dades dels pacients. També a Portugal s'ha confirmat que hi ha diverses companyies portugueses afectades pel mateix programa maliciós, entre les quals menciona el grup de telecomunicacions Portugal Telecom, Banco Santander i la consultora tecnològica KPMG, segons 'Diario de Noticias'.

300 dòlars per rescat

Segons les imatges que s'han filtrat en fòrums especialitzats en seguretat informàtica, els atacants demanen 300 dòlars per cada usuari afectat. Tot i així, fonts de la companyia recorden que l'empresa té còpia de seguretat de les dades que emmagatzema la seva xarxa interna i podria solucionar el problema formatejant els equips. Fonts internes de Telefónica expliquen que l'atac s'ha produït al voltant de les 11.00 h, quan als ordinadors d'alguns dels treballadors hi ha aparegut una pantalla blava. El virus demanava un rescat en 'bitcoins' per recuperar l'accés a les dades del terminal. Aquest atac hauria afectat no només les oficines de Barcelona de Telefónica i la seva seu central a Madrid, sinó tota la xarxa a Espanya.

El ministeri d'Energia, Turisme i Agenda Digital també s'ha afanyat a enviar un comunicat per assegurar que l'Institut Nacional de Ciberseguretat està treballant amb "les empreses afectades" per solucionar la incidència. En aquest sentit, ha reiterat que ni l'operativitat de xarxes ni la prestació de serveis de les companyies han quedat afectades.

Fonts internes de Telefónica expliquen que la companyia és la proveïdora de seguretat de moltes grans empreses de l'Íbex-35. És per això que altres grups que contracten els seus serveis també podrien haver sigut víctimes de l'atac. De fet, el grup energètic Iberdrola també en podria haver sigut víctima; segons fonts empresarials, l'atac hauria afectat altres grans companyies espanyoles. Tot i així, KPMG, Vodafone, Inditex, BBVA i el Santander han negat per ara aquesta informació i asseguren que la seva xarxa interna funciona amb normalitat.

De totes maneres, fonts internes de Vodafone expliquen que la companyia ha demanat als treballadors que actuïn amb precaució i fins i tot que apaguin els ordinadors portàtils. L'operadora té l'alerta activada. La catalana Gas Natural també ha fet la mateixa petició als seus treballadors mentre no se solucioni el problema. Fins i tot l'Ajuntament de Barcelona ha enviat un comunicat intern als treballadors de la plantilla per dir-los que no obrin cap correu electrònic sospitós de manera preventiva per garantir la seguretat dels sistemes informàtics.