El pasado 1 de junio, la Universidad de California en San Francisco (UCSF) entró en pánico, ya que observó cómo gran parte de los archivos de la red informática estaban siendo encriptados. ¿Qué había pasado? Alguien había recibido un correo electrónico que, mediante una estrategia de phishing, incrustó un malware que comenzó a ejecutarse y a distribuirse por toda su red interna.

El equipo de seguridad informática de la universidad empezó rápidamente a desconectar los equipos para evitar la propagación de la infección, pero ya era tarde: habían sido víctimas de Netwalker, un malware distribuido por el grupo cibercriminal homónimo que había encriptado parte de sus documentos internos. Esta actividad dio lugar a la negociación para el rescate, a la que tuvo acceso la BBC, mediante un chat abierto en la dark web.

La ‘oferta’ de los ciberdelincuentes empezó con tres millones de dólares por el rescate, aunque tras varias negociaciones la universidad consiguió rebajar esa cifra hasta los 1,14 millones. Una vez cerrado el acuerdo, la universidad envió 116.4 bitcoins a los monederos electrónicos de Netwalker y recibió el software para descifrar la información confiscada. Pese a todo, la universidad asegura que este robo en ningún caso afectó ni a las bases de datos de sus clientes ni a sus recientes investigaciones sobre el covid-19.

Lo cierto es que la UCSF no ha sido la única en experimentar la acción de Netwalker. El Distrito de Salud Pública de Illinois, que da cobertura a cerca de 210.000 personas, reconoció que en marzo también había sido víctima de los mismos ciberdelincuentes, en lo que claramente fue un ataque dirigido. En el ámbito educativo, la Universidad de Michigan y el Columbia College de Chicago también han visto cómo gran parte de su información interna era encriptada por Netwalker.

Su objetivo: hospitales y universidades_

¿Guardan alguna relación entre sí las distintas víctimas de este ransomware? En realidad sí: todas ellas pertenecen directa o indirectamente al ámbito sanitario. La conexión del Distrito de Salud Pública de Illinois con este sector es evidente, mientras que la USCF, por ejemplo, estaba desarrollando intensas investigaciones sobre el coronavirus. Porque esa es la palabra clave en el fondo: coronavirus.

Y es que, aunque en su momento varios grupos cibercriminales como DoppelPaymer, Maze o los propios Netwalker Ransomware establecieron una tregua y aseguraron que no atacarían a ninguna institución sanitaria crítica mientras durase la pandemia, estos últimos parecen haber roto dicho pacto. Las motivaciones están claras: este tipo de instituciones no solo han visto aumentada su carga de trabajo durante la crisis sanitaria, con lo que tienen menos recursos que dedicar a su protección, sino que además pueden guardar investigaciones e información relevante para luchar contra el Covid-19. Este contexto es especialmente delicado, de ahí que organismos como la Agencia de Seguridad de la Ciberseguridad e Infraestructura de los Estados Unidos (CISA) están alertando a todo tipo de centros sanitarios de un aumento del phishing relacionado con la pandemia.

Los casos hablan por sí solos. El hospital provisional Birmingham Nightingale, dedicado enteramente al tratamiento de enfermos en esta situación excepcional, fue atacado el pasado mes de mayo por un grupo de ciberdelincuentes que, según The Telegraph, obtuvo acceso a información privada de hasta 100.000 personas entre la que se encontraron datos personales como nombres, nóminas e información bancaria y de pensiones. Las incidencias se han multiplicado por el Covid-19, pero los ataques a hospitales no son precisamente nuevos: la delicadeza de los datos e informaciones que manejan los ha hecho siempre especialmente vulnerables, sufriendo incidentes que incluso les han obligado a paralizar toda su actividad.

Cómo actúa Netwalker y cómo hacerle frente_

La actividad de Netwalker tampoco es excesivamente novedosa, ya que en realidad se trata de una evolución del malware Mailto. Sus primeras acciones se localizan en el otoño de 2019 y opera de una manera similar a la de sus antecesores, es decir, a través de un ataque dirigido. Su primera puerta de entrada suele ser el correo electrónico, donde lleva adjunto un archivo ‘Coronavirus_Covid-19.vbs’ o incluye enlaces a dicho archivo.

Una vez descargado y ejecutado, recurre a scripts de Powershell para cargar la amenaza mediante la inyección de DLL. De este modo, progresivamente irá acaparando todos los documentos del equipo y encriptando toda la información para que no pueda ser consultada por su propietario. En última instancia, según se ha afirmado en varios ciberataques, la víctima recibe un archivo ‘Readme.txt’ en el que se le informa del ataque y se le da las instrucciones para entrar en contacto con los ciberdelincuentes y negociar el correspondiente rescate; en otras ocasiones, esta nota viene en un archivo JSON.

Para evitar este tipo de incidencias hay varias medidas que cualquier organización debe tomar si quiere proteger su ciberseguridad:

1.- Emails y confianza. Los empleados son siempre el eslabón más débil de la cadena de ciberseguridad y este es un ejemplo más. Cualquier institución debe concienciar a su personal de la necesidad de no abrir correos electrónicos de procedencia sospechosa ni pinchar en enlaces o descargar archivos cuya finalidad no haya sido comprobada como lícita.

2.- Autenticación. En ocasiones, el malware es capaz de hacerse con las credenciales de un empleado para ejecutar una aplicación concreta, con lo que la autenticación multifactor ayudará a que el ciberdelincuente no pueda atravesar todas las barreras, especialmente si, aparte de la contraseña, tiene que introducir un token concreto o un código que el empleado solo pueda recibir mediante un SMS a su teléfono.

3.- Copias de seguridad. En caso de que el ataque no pueda ser prevenido, evitado ni mitigado, la posesión de copias de seguridad será muy importante para la organización. Su posesión le permitirá, en el peor de los casos, no tener que hacer frente a un rescate económico para recuperar sus datos.

4- Vigilancia de los endpoints. La medida más importante de todas. Si tenemos en cuenta que muchos ataques de malware aprovechan vulnerabilidades del sistema operativo y se hacen pasar por archivos confiables, las empresas necesitan tener completa vigilancia sobre todos los procesos internos de su red para detectar cualquier tipo de comportamiento que, aunque pueda parecer seguro, resulte anómalo o peligroso.

Por circunstancias como estas son imprescindibles soluciones como Cytomic Orion, una plataforma de analítica de datos a escala y en la nube que analiza el comportamiento de las aplicaciones, los usuarios y los endpoints en busca de actividades anómalas para su rápida investigación. Su arquitectura recoge en tiempo real qué está ocurriendo en los endpoints y lo procesa con algoritmos de inteligencia artificial para prever, detectar, cazar y dar respuesta a todo tipo de amenazas, ya sean conocidas o no.

Y es que si una organización sufre una amenaza de ciberataque siempre podrá ejecutar acciones para mitigar el daño, pero el objetivo debe ir más allá y ser proactivo, centrándose en localizar las posibles amenazas antes de que se materialicen y anular su posible actividad.