En los últimos años hemos descrito múltiples incidentes de ransomware dirigidos a organizaciones como hospitales, transporte público u ordenadores del gobierno de todo un municipio. Más tarde aparecieron los wipers, con las epidemias WannaCry, ExPetr y Bad Rabbit que se expandieron por todo el mundo y arruinaron muchas operaciones comerciales.
Afortunadamente, no hemos presenciado ningún evento de semejante escala en los últimos 12 meses y no precisamente porque los ciberdelincuentes no lo hayan intentado. El 19 de marzo, Hydro, productor de aluminio alemán, anunció que un ransomware había afectado a toda la compañía.
¿Qué ha pasado?
El equipo de seguridad de Hydro detectó por primera vez actividad inusual en los servidores de la compañía a media noche, según el portavoz de Hydro. Los especialistas vieron que la infección se estaba expandiendo e intentaron contenerla, pero solo lo consiguieron parcialmente, ya que, cuando aislaron las plantas, su red global ya estaba infectada. La empresa no ha revelado el número de ordenadores afectados, pero teniendo en cuenta que trabajan 35000 personas para la compañía, lo más probable es que el número sea bastante elevado.
El equipo de Hydro está trabajando las 24 horas del día para mitigar el incidente con un éxito parcial. Las centrales eléctricas no se vieron afectadas, pues estaban aisladas de la red principal, una muy buena práctica en infraestructuras críticas. Pero las plantas de fundición, cada vez más automatizadas, no estaban aisladas. Por tanto, algunas de estas plantas ubicadas en Noruega recibieron el ataque, pero el equipo consiguió que funcionaran, aunque en modo semimanual y mucho más lento. No obstante, Hydro afirma que “la incapacidad para conectarse a los sistemas de producción causó desafíos de producción y provocó paros temporales en varias plantas”.
A pesar de la gran escala, el ataque no destruyó por completo las operaciones de Hydro. Además, aunque todos los equipos con Windows acabaron cifrados e inutilizados, los teléfonos y tablets que no estaban equipados con este sistema operativo siguieron funcionando, lo cual permitió a los empleados comunicarse y responder a las necesidades comerciales. Más buenas noticias: la infraestructura, con bañeras para la producción de aluminio que cuestan unos 10 millones de euros cada una, no parece haberse visto afectada y nadie resultó herido durante el incidente. Además, Hydro espera que todo pueda volver a la normalidad gracias a las copias de seguridad.
Análisis: aciertos y errores
Lo más seguro es que Hydro se enfrente a un largo camino antes de poder restaurar todas las operaciones por completo, de hecho, ya solo la investigación del incidente llevará mucho tiempo y esfuerzo por parte de la compañía y de las autoridades noruegas, que por el momento no han llegado a un consenso sobre qué ransomware se ha utilizado para el ataque o quién lo inició.
Las autoridades afirman contar con múltiples hipótesis. Una de ellas es LockerGoga, al cual Bleeping Computer describe como “lento” (nuestras analistas coinciden con esta descripción) y “descuidado”, ya que “no se esfuerza por no ser detectado”. La nota de rescate no decía nada sobre la cifra requerida para descifrar los ordenadores, en su lugar, aparecía una dirección para que las víctimas se pusieran en contacto.
Aunque el análisis del incidente no está completo, ya podemos discutir las decisiones que ha tomado Hydro antes y durante el incidente.
Aciertos:
- Las centrales eléctricas estaban aisladas de la red principal, por lo que no se vieron afectadas.
- El equipo de seguridad consiguió aislar las plantas de fundición bastante rápido, por lo que pudieron seguir funcionando (aunque la mayoría en modo semimanual).
- Los empleados pudieron seguir comunicándose normalmente incluso después del incidente, es decir, el servidor de comunicación estaba bien protegido, por lo que no se vio afectado por la infección.
- Hydro cuenta con copias de seguridad que le permiten, en principio, restaurar los datos cifrados y continuar con las operaciones.
- Hydro tiene un seguro que debería cubrir parte de los costes del incidente.
Errores:
- Lo más seguro es que la red no se haya segmentado correctamente o, de lo contrario, habría sido mucho más fácil frenar la expansión del ransomware y contener el ataque.
- La solución de seguridad no era lo suficientemente sólida como para interceptar el ransomware (por ejemplo, a pesar de ser relativamente nuevo, Kaspersky Security conoce perfectamente LockerGoga, Trojan-Ransom.Win32.Crypgen.afbf).
- Se podría haber completado la solución de seguridad con software antiransomware como nuestro Kaspersky Anti-Ransomware Tool gratuito, que se puede instalar junto con otras soluciones de seguridad y que es capaz de proteger el sistema de todo tipo de ransomware, mineros y demás ataques.