Ataque cibernético en el metro de San Francisco paraliza 2100 sistemas

Un troyano extorsionista tomó por sorpresa e infectó más de 2 000 sistemas de la agencia de transporte público de San Francisco: los delincuentes cibernéticos exigen un rescate enorme, de 100 Bitcoins (73 000 dólares americanos).

Debido a los ataques, quedaron fuera de servicio los aparatos de venta de pasajes del “metro ligero” Muni, y la agencia tuvo que transportar todo el día a los pasajeros de forma gratuita, mientras que el personal intentaba rectificar la situación. El incidente, según se cree en la institución, causará pérdidas, ya que el ataque ocurrió la semana cuando en Estados Unidos se celebra el Día de acción de gracias y la gente se desplaza por la ciudad haciendo compras navideñas.

Los atacantes utilizaron una variante del troyano HDDCryptor que infectó 2112 sistemas, entre ellos equipos de administradores, estaciones de trabajo CAD, servidores de correo electrónico e impresión, computadoras en los quioscos de venta de billetes, estaciones de trabajo de empleados, terminales del Departamento de objetos perdidos, la base de datos SQL y el sistema de pago.

Una vez dentro de la red inalámbrica de la organización y usando las funciones del gusano, HDDCryptor consiguió llegar al controlador de dominio de la organización e infectó los discos duros de una parte de los sistemas conectados a la red de Windows (la organización tiene unos 8 500 sistemas). Después, los sistemas infectados empezaron a mostrar el siguiente mensaje en vez de cargar Windows: “Los hemos hackeado, TODOS los datos están cifrados, para obtener la clave de descifrado póngase en contacto con (cryptom27@yandex.com) ID:601”.

HDDCryptor y otro malware similar ataca el registro de arranque principal (MBR) de los equipos con Windows. Si el sector MBR se modifica, el equipo no puede encontar el sistema operativo, y por lo tanto, el usuario no puede utilizar el equipo ni acceder a sus archivos. Esta funcionalidad también la tienen otros programas maliciosos peligrosos, en particular Petya y Satana. Lo más probable es que el malware haya irrumpido en el sistema después de que un empleado abriese un archivo ejecutable malicioso en un correo electrónico.

Por el momento la billetera Bitcoin que los criminales han prepararon para recibir el rescate está vacía y el silencio de la víctima ha hecho que los extorsionistas se quejen por la falta de iniciativa de la agencia. Los atacantes ofrecieron descifrar el disco de un equipo por 1 bitcoin para demostrar que tienen la clave. En un inglés tarzánico, escribieron que “el programa trabaja automáticamente y no se trata de un ataque selectivo”. Los extorsionistas amenazaron con cerrar la dirección de correo electrónico, creada para la comunicación con la víctima, si no reciben una pronta respuesta de la agencia. Según los extorsionistas, la red de la organización estaba mal protegida.

Mientras esté en curso la investigación del incidente, los representantes de la agencia se abstienen de hacer comentarios.

Este no es el primer ataque a gran escala que los extorsionistas lanzan contra instituciones. El cifrador Locky infectó varios hospitales en los Estados Unidos y el Hospital Presbiteriano de Hollywood tuvo que pagar el rescate para poder volver a trabajar. Sin embargo, la policía y las compañías de seguridad informática no aconsejan complacer las demandas de los criminales e instan a las víctimas a abstenerse de pagar rescates. Además, los investigadores de Cisco Talos han desarrollado una herramienta libre para proteger el MBR contra extorsionistas y otros tipos de malware.

Fuentes: Threatpost