El Ministerio de Energía, Turismo y Agenda Digital, informa a través del Instituto Nacional de Ciberseguridad (INCIBE) que el Centro de Respuesta a Incidentes de Seguridad e Industria (CERTSI), operado de forma coordinada por INCIBE y el Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC), continúa trabajando con las empresas afectadas por los ciberataques ocurridos durante la jornada. Los incidentes de seguridad se están gestionando a través del CERTSI.
Las primeras fases del ciberataque ya han sido mitigadas, principalmente con la emisión de diferentes notificaciones y alertas hacia los afectados así como a potenciales víctimas de la amenaza, basadas fundamentalmente en medidas de detección temprana en los sistemas y redes, bloqueo del modus operandi del virus informático, y la recuperación de los dispositivos y equipos infectados. En este sentido, muchas de las empresas afectadas han activado correctamente sus protocolos y procedimientos de seguridad ante estas situaciones y están recuperando los sistemas y su actividad habitual.
Adicionalmente otras compañías susceptibles a este tipo de amenaza han tomado ya medidas preventivas que impedirían la propagación del malware, y se han puesto en contacto con el CERTSI para disponer de nuevas acciones y medidas a adoptar.
La amenaza, que ha sido ya detectada en más de 10 países, podría estar afectando a más de 40.000 dispositivos y equipos, entre ellos Rusia, Ucrania y Reino Unido, no estando España entre los países más afectados, fuera de este top 10.
Desde el CERTSI se recomienda seguir informados a través de los canales oficiales y de las actualizaciones periódicas. Las principales recomendaciones que se ofrecen son:
- Actualizar los equipos con los últimos parches de seguridad del fabricante.
- No abrir ficheros, adjuntos o enlaces de correos electrónicos no confiables.
- Disponer de herramientas de protección adecuadas tales como antivirus/antimalware y cortafuegos.
- Realizar copias de seguridad periódicas de nuestra información, principalmente la más sensible o importante de nuestros dispositivos.
La infección masiva de equipos personales y dispositivos se ha producido por un malware del tipo ransomware que tras instalarse en el equipo, bloquea el acceso a los ficheros del ordenador afectado y solicita un rescate para permitir recuperar la información. Además en este caso, podría infectar al resto de ordenadores vulnerables de la red a la que pertenece.
Desde CERTSI se está trabajando en dos líneas de actuación: la mitigación y ayuda a recuperar la información y la alerta temprana y prevención. La alerta con las actualizaciones y detalles se puede consultar en las direcciones de los blogs corporativos de INCIBE:
Importante oleada de ransomware afecta a multitud de equipos
Se está produciendo una infección masiva de equipos tanto personales como en organizaciones, por un malware del tipo ransomware que tras instalarse en el equipo, bloquea el acceso a los ficheros del ordenador afectado y como es típico en este tipo de virus, solicita un rescate para permitir el acceso. Además en este caso, podría infectar al resto de ordenadores vulnerables de la red a la que pertenece.
Recursos afectados
Microsoft Windows Vista SP2
Windows Server 2008 SP2 and R2 SP1
Windows 7
Windows 8.1
Windows RT 8.1
Windows Server 2012 and R2
Windows 10
Windows Server 2016
Solución
¿Cómo prevenir el ataque?
Actualizar el sistema operativo Windows con los últimos parches de seguridad ya que el malware aprovecha una vulnerabilidad para el que ya existe un parche de seguridad. Dicha actualización de seguridad impide que el malware se pueda propagar fácilmente por la red. El boletín de seguridad de Microsoft que lo soluciona es MS17-010.
En caso de que no sea posible aplicar los parches de seguridad, se debería optar por las siguientes medidas de mitigación:
– Aislar la red donde haya equipos infectados.
– Aislar los equipos infectados.
– Bloquear la comunicación de los puertos 137/UDP y 138/UDP así como los puertos 139/TCP y 445/TCP en las redes de las organizaciones.
¿Cómo recuperar los datos cifrados?
El Instituto Nacional de Ciberseguridad de España (INCIBE) a través del CERT de Seguridad e Industria (CERTSI) dispone de un servicio gratuito de análisis y descifrado de ficheros afectados por ciertos tipos de ransomware denominado Servicio Antiransomware.
Para poder identificar el tipo de virus y verificar si los datos son recuperables, Sigue los pasos del siguiente artículo para ponerte en contacto: Nuevo Servicio Antiransomware, recupera el control de tu información.
Debido a que la prestación de este servicio de análisis y descifrado se realiza en colaboración con una entidad externa a INCIBE y a pesar de tener acuerdo de confidencialidad con la misma, es recomendable que los ficheros que nos envíe no contengan información privada o confidencial, ya que serán compartidos con la citada entidad para su análisis.
Por último, si no lo has hecho ya, puedes poner la correspondiente denuncia de lo ocurrido ante las Fuerzas y Cuerpos de Seguridad del Estado: http://www.osi.es/es/reporte-de-fraude
¿Pagar sirve para recuperar mis archivos?
Se trata de ciberdelincuentes y no existe garantía alguna de recuperar los datos una vez efectuado el pago.
¿Cómo desinfectar el ordenador?
Para eliminar la infección, en principio, se podría utilizar cualquier antivirus o antivirus auto-arrancable actualizado (https://www.osi.es/herramientas). Dependiendo de la importancia de los datos perdidos es recomendable realizar un clonado previo de los discos (copia de la información del disco duro en otro soporte). El clonado es importante ya que si se quiere interponer una denuncia todos los archivos serán necesarios para la investigación, además es muy probable que exista alguna herramienta capaz de descifrar los archivos en un futuro.
Si dispones de una licencia de algún antivirus, también puedes contactar con su departamento de soporte técnico para que te indiquen la manera de proceder ya que muy probablemente tengan más información de otros usuarios afectados.
Para este caso, recuerda mantener el sistema actualizado a las últimas versiones y con los parches de seguridad más recientes.
Evita ser víctima de fraudes de tipo de delito siguiendo nuestras recomendaciones:
1. No abras adjuntos en correos de usuarios desconocidos o que no hayas solicitado, elimínalos directamente.
2. No contestes en ningún caso a este tipo de correos.
3. Precaución al seguir enlaces en correos, mensajería instantánea y redes sociales, aunque sean de contactos conocidos.
4. Precaución al descargar ficheros adjuntos de correos aunque sean de contactos conocidos.
Detalles
El método de infección y propagación se produce aprovechando una vulnerabilidad del sistema operativo Windows para la que aparentemente ya existe solución.
La versión del malware según los análisis es un HydraCrypter que pertenece a una variante de las versiones WannaCry.
Tras infectar y cifrar los archivos del equipo afectado, como es habitual, el ransomware solicita un importe para desbloquear el equipo a través de una ventana.