Everis: Ataque con Ransomware

En la madrugada del 03 de noviembre del 2019 se ha presentado un ciberataque de manera global que ha afectado a las empresas Everis y a la Cadena Ser entre otras.
Se trata de un malware del tipo ramsonware que actúa sobre la vulnerabilidad de los componentes de ofimática de los PCs, cifrando todos los archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas de Windows que haya en esa misma red.

Tras instalarse en el equipo, bloquea el acceso a los ficheros del ordenador afectado y pide un rescate. La vía de infección parece ser un fichero adjunto a un correo electrónico. No compromete la seguridad de los datos ni se trata de una fuga de datos.

Según diferentes medios de comunicación, señalan que los empleados tienen instrucciones de no conectarse a la red interna, y de apagar todos los dispositivos e incluso está mandando a los trabajadores a su casa.

En los equipos infectados aparece un pantallazo negro (ver la imagen) que dice que no hay forma de arreglarlo de forma “gratuita” y pide a los afectados que escriban a unas direcciones de correo para conocer la cantidad de dinero a pagar a modo de rescate.

Se rumorea podría haber otras empresas de diversa entidad afectadas por el problema, pero de momento no ha habido confirmación al respecto. A pesar de algunos rumores previos, tanto KPMG como Accenture han negado estar afectadas por el problema.

¿Qué es un ransomware?

El ransomware es un tipo de malware informático que se instala de forma silenciosa en dispositivos móviles, y ordenadores de todo tipo, y que una vez se pone en acción cifra todos los datos para bloquear el acceso a ellos sin la contraseña que permite descifrarlos.
El mecanismo de acceso del malware a los ordenadores afectados es variado, pero sobre todo se suele infectar a la víctima a través de correos con spam: recibos o facturas falsas, ofertas de trabajo, advertencias de seguridad o avisos de correos no entregados, etc.
Ese tipo de ataque puede activarse también a través de exploits que aprovechen vulnerabilidades de todo tipo.

2. RECOMENDACIONES

Algunas fuentes informan que el posible acceso se debió a la vulnerabilidad de BlueKeep “CVE-2019-0708”, por lo cual se recomienda corregir la vulnerabilidad con el parche brindado por Microsoft.

https://support.microsoft.com/es-pe/help/4500705/customer-guidance-for-cve-2019-0708

Además:

➢ Mantener actualizados los sistemas y aplicaciones.
➢ No abrir correos de dudosa procedencia.
➢ No acceder a páginas webs no confiables.
➢ Realizar copias de seguridad.
➢ Preparar un plan de respuesta.
➢ Concientizar a los colaboradores de la empresa.

Fuente: Telefónica Del Perú – Centro de Operaciones de Seguridad