Los funcionarios de Baltimore han reconocido que el gobierno de la ciudad ha vuelto a ser víctima del ransomware, el segundo ataque de este tipo al que se enfrenta Baltimore en más de un año.
Según el Baltimore Sun, las computadoras de la ciudad han sido infectadas con el virus ransomware RobinHood. Los piratas informáticos dijeron a los funcionarios de la ciudad que desbloquearían las computadoras a cambio de pagar tres bitcoins por sistema, o 13 bitcoins por todo el sistema. Con base en los tipos de cambio actuales, el rescate asciende a aproximadamente $17,600 por computadora o $76,280 por el sistema.
Los piratas informáticos dieron a los funcionarios cuatro días para pagar el rescate, o el precio del rescate aumentaría. Amenazaron con hacer que los datos del sistema fueran irrecuperables después de 10 días. Además, los piratas informáticos advirtieron a la ciudad que no contactara al FBI.
El nuevo alcalde de Baltimore, Bernard Young, dijo en las redes sociales que los servicios esenciales en la ciudad aún estaban funcionando y que hasta el martes por la tarde no había evidencia de que alguna información personal se hubiera visto comprometida.
«Los servicios esenciales básicos de la ciudad de Baltimore (Policía, Bomberos, EMS y 311) siguen operativos, sin embargo, se ha determinado que la red de la ciudad está infectada con un virus ransomware», tuiteó el alcalde Young el martes por la tarde. “El personal de la ciudad está trabajando para determinar la fuente y el alcance de la infección”.
El alcalde agregó que la ciudad cerró la mayoría de sus servidores como medida de precaución.
respuesta rápida
Los funcionarios de la ciudad recibieron instrucciones de desconectar por completo sus computadoras de Internet a medida que el virus se propagaba de una computadora a otra. Según los informes, se indicó a los empleados que desconectaran los cables Ethernet de sus computadoras y cerraran todos los departamentos conectados.
Los servicios esenciales todavía están funcionando, pero otros se han interrumpido, incluida la capacidad de discutir problemas de facturas o realizar pagos en línea, especialmente para el agua. Como resultado, el Departamento de Obras Públicas de Baltimore (DPW) anunció a través de las redes sociales que suspenderá los cargos por mora para los clientes de la ciudad y el condado.
El Departamento de Transporte de la Ciudad de Baltimore anunció que dos lotes incautados y su Departamento de Servicios de Derecho de Paso también se vieron afectados por la interrupción de la red informática.
El problema se contuvo en gran medida el martes por la tarde y los equipos de la ciudad pudieron aislar el ransomware, pero hasta el miércoles, aún no estaba claro cuándo los sistemas afectados podrían volver a estar en línea. El Escuadrón Cibernético del FBI ha estado ayudando a Baltimore con los esfuerzos de recuperación.
déjà vu otra vez
El ataque del martes fue único en el sentido de que Baltimore enfrentó un ataque similar el año pasado. Ese fue más dañino, ya que provocó que el envío automático de llamadas al 911 y al 311 se desactivara temporalmente.
«Este incidente nos dice que tales ataques están aumentando, pero también que las prácticas sensibles están disminuyendo, al menos en Baltimore», advirtió Jim Purtilo, profesor asociado del Departamento de Ciencias de la Computación. Universidad de Maryland.
«No hay una buena manera de decir esto: dos ataques graves en un año es patético», dijo a TechNewsWorld.
Por supuesto, Baltimore no fue el único objetivo de este tipo de ataques. Atlanta fue víctima del ransomware SamSam el año pasado, que interrumpió las operaciones y funciones del gobierno de la ciudad durante un período prolongado.
El otoño pasado, el Departamento de Justicia acusó a dos hombres iraníes en noviembre pasado por desplegar el virus, cuyas víctimas incluyeron la ciudad de Newark, Nueva Jersey, así como el Puerto de San Diego y el Departamento de Transporte de Colorado.
«No hay duda de que los malos actores tienen en la mira a 89 000 gobiernos locales de todo el país», dijo Mike Bittner, gerente de operaciones y seguridad digital. confianza en los medios.
«Estos gobiernos locales son objetivos ideales porque recopilan y procesan grandes cantidades de información de ciudadanos y empresas, y sus presupuestos ajustados les impiden realizar las actualizaciones de seguridad de TI que tanto se necesitan», dijo a TechNewsWorld. , es una cuestión de cuándo».
blanco blando
Las agencias gubernamentales, desde las federales hasta las locales, generalmente no reemplazan los sistemas informáticos con tanta frecuencia como las empresas o los individuos. Muchos de ellos se basan en sistemas obsoletos, lo que los convierte en objetivos fáciles para los piratas informáticos, que a menudo usan libros de jugadas de lectura en estos ataques.
«Mientras las personas puedan ser manipuladas a través de la ingeniería social o el phishing, y haya un software antiguo sin parches y una seguridad perimetral débil, estos ataques procederán con un 100% de certeza». un lapso.
“Eliminar estos ataques no es razonable; sin embargo, para que las empresas y organizaciones reduzcan su exposición a amenazas, deben [appropriate] acción», dijo a TechNewsWorld.
Es importante que entiendan completamente que estos ataques pueden ocurrir y que abordarlos puede ser costoso y complejo.
anunciar
Vergara agregó que para abordar de manera efectiva este tema, se requieren inversiones adecuadas en medidas preventivas de seguridad.
«Inicie capacitación obligatoria y continua de los empleados sobre phishing, phishing (estafas de phishing de correo de voz) e ingeniería social relacionada con el objetivo de obtener información personal o comercial para refinar los ataques o atraerlos para que instalen malware», aconseja.
Además, las empresas y las agencias gubernamentales en todos los niveles deben mantener el software y la infraestructura de seguridad perimetral y probarlos regularmente. También deben utilizar el filtrado de contenido en el servidor de correo para bloquear archivos adjuntos sospechosos o maliciosos.
«Garantizar que todos los sistemas y el software estén actualizados», dijo Vergara, «es simple, pero muchas empresas y organizaciones aún lo pasan por alto».
Las malas prácticas son buenas noticias para los hackers
De todos los tipos de ciberataques en circulación, el ransomware presenta el mayor desafío, pero debería ser fácil de recuperar si se realiza la debida diligencia de antemano.
«Si hace una copia de seguridad de sus archivos, no necesita negociar ni pagar a los ciberdelincuentes», dice confianza en los mediosBitner.
Los gobiernos locales, al igual que las empresas y las personas, deben mejorar en la copia de seguridad de sus datos para que nunca se considere pagar el rescate.
«Todas las organizaciones deben asumir que están en la mira de los ciberdelincuentes», dijo Bittner.
Además, «todas las organizaciones deben asumir que están bajo algún tipo de ataque y fortalecer sus defensas cibernéticas», agregó.
«Cualquier sistema puede ser vulnerable a un lapso momentáneo en nuestra práctica. Después de todo, los vectores de ataque están ahí fuera y, a veces, alguien más encuentra la vulnerabilidad antes que nosotros», dijo Purtilo de la Universidad de Maryland.
Agregó: «Después de experimentar esto una vez el año pasado, es difícil ver por qué los administradores competentes permitirían que la ciudad continúe operando un sistema que permite que empresas enteras sufran por un solo punto de falla».
pagar el rescate
El ransomware de hoy no es tan diferente de la forma en que las tribus bárbaras de antaño amenazaban con asaltar fronteras y saquear ciudades a menos que les devolvieran el dinero. La diferencia es que el ransomware no es un ataque físico, sino digital, y algunas ciudades ya han sucumbido.
Sin embargo, el consenso entre los expertos en seguridad es que nunca se debe considerar pagar un rescate, ni siquiera como último curso de acción, cuando se sufre un ataque de este tipo.
«Incluso si paga el rescate, siempre existe la posibilidad [thehackers] Sus archivos no se publicarán», señaló Bittner.
Aún más preocupante, si se paga el rescate, los piratas informáticos pueden verse tentados a intentarlo de nuevo.
«Si la empresa pagó antes y no abordó la brecha de seguridad, sí, volverán a ser atacados. Es algo fácil para los piratas informáticos», dijo Vergara.
Sin embargo, en algunos casos puede ser la única opción.
«En algunos casos, el pago no solo es el camino más rápido hacia la recuperación, sino también la opción más rentable», admite Adam Laub, vicepresidente senior de gestión de productos.tecnología sigilosa.
«Todo depende de la situación; si sus datos son realmente valiosos y no hay otra copia a la que recurrir, es posible que no tenga más remedio que pagar», dijo a TechNewsWorld.
Es por eso que el ransomware ha sido un arma eficaz para los ciberdelincuentes que buscan ganar dinero rápido y causar estragos al hacerlo.
«Por el contrario, si al menos está haciendo un buen trabajo de copia de seguridad de los datos más significativos, entonces perder cualquier dato comprometido es probablemente perfectamente aceptable», aconseja Laub. «La razón por la que es tan efectivo es porque provoca desesperación en sus víctimas, y las personas desesperadas hacen cosas desesperadas».
Dado que este fue el segundo ataque a un objetivo, es poco probable que Lightning golpee una tercera vez, o piratee, según sea el caso.
«Había demasiado enfoque en la ciudad de Baltimore en este momento para sostener un ataque», explicó Laub. «Es demasiado arriesgado para un atacante».
posibles ataques futuros
La triste verdad es que es probable que los ataques de ransomware continúen. No es solo que muchas ciudades aún dependan de hardware y software antiguos. Incluso con los sistemas reemplazados, los equipos heredados dejan enormes agujeros para que los piratas informáticos exploten.
Las corporaciones y las grandes agencias gubernamentales podrán tapar las lagunas, pero muchas grandes ciudades de EE. UU. no podrán abordar las lagunas subyacentes.
El éxito de implementar defensas puede depender del tipo de organización objetivo, dijo John Gunn, director de marketing de OneSpan.
«Las empresas pueden responder de inmediato e invertir en herramientas de seguridad de TI adicionales para protegerse contra los tipos de ataques que acaban de experimentar, mientras que las agencias gubernamentales pueden tardar meses o incluso años en obtener la aprobación y el presupuesto para nuevas herramientas de seguridad, mientras se enfrentan a ataques similares», dijo a TechNewsWorld.
Incluso los nuevos sistemas y las actualizaciones completas de la red pueden no ser suficientes para detener a los salvajes digitales.
«Hay tantas complejidades y partes móviles. Es difícil imaginar que una agencia pública potencialmente con fondos insuficientes dé muchos pasos significativos hacia una postura de seguridad sólida en un corto período de tiempo», advierte Laub de Stealthbits Technologies.
Aún así, el hecho de que Baltimore fuera atacado dos veces muestra que la ciudad no ha aprendido la lección.
“En pocas palabras, engáñame una vez y avergüénzame; engáñame dos veces, avergüénzame”, dijo Purtilo. «Los contribuyentes de Baltimore deberían estar haciendo muchas preguntas difíciles».
