El viernes, la ciudad estadounidense de Nueva Orleans se convirtió en el último gobierno local en ser víctima del ransomware.
El ataque provocó que la alcaldesa LaToya Cantrell declarara el estado de emergencia. Durante una conferencia de prensa el viernes, la alcaldesa confirmó que se trataba de un ataque de ransomware y que su actividad comenzó alrededor de las 5 a.m. de esa mañana.
La ciudad detectó la actividad sospechosa en sus redes alrededor de las 11 a.m., momento en el que básicamente se apagó.
Según NOLA Ready (la campaña de preparación para emergencias de la ciudad, administrada por la Oficina de Seguridad Nacional y Preparación para Emergencias) la ciudad apagó todos sus servidores, cerró todos los sitios web de NOLA.gov y les comunicó a los empleados que apagaran sus ordenadores, desconectaran los dispositivos y del wifi. Las comunicaciones de emergencia no se vieron afectadas, según NOLA Ready, con las líneas telefónicas de emergencia del 911 y las de servicio de la ciudad 311 aún operativas.
#Alert: At approximately 11am today, the @CityOfNOLA detected suspicious activity on its networks that indicated a potential cyberattack.
— NOLA Ready (@nolaready) December 13, 2019
La ciudad pidió a las autoridades locales, estatales y federales una investigación (aún pendiente) del incidente. Ayer, la ciudad todavía estaba trabajando para recuperar datos del ataque, pero planeaba estar abierta como de costumbre.
The @CityOfNOLA data recovery strategy & process to bring systems back online after the cybersecurity incident is underway. Additional staff & resources from the @LANationalGuard & State of Louisiana will be on the ground in #NOLA tomorrow to assist with the reimaging of devices.
— NOLA Ready (@nolaready) December 16, 2019
¿Ha sido obra de Ryuk?
Cantrell ha confirmado que se trata de un ataque de ransomware, pero que aún no se ha hecho ninguna demanda de rescate. Se ha pedido la ayuda de investigadores federales y estatales con la investigación.
Bleeping Computer informó que, según lo que parece volcados de memoria de ejecutables sospechosos que se cargaron en el servicio de escaneo de VirusTotal el sábado, el día después del ataque, parece que fue hecho por los ciberdelincuentes desafortunadamente muy activos detrás del ransomware Ryuk.
El investigador de seguridad Colin Cowie, de Red Flare Security, descubrió que uno de los conjuntos de archivos contenía numerosas referencias a Nueva Orleans y Ryuk.
https://twitter.com/th3_protoCOL/status/1206072329782153217
Cowie compartió uno de los volcados de memoria con Bleeping Computer. Se trata de un ejecutable llamado yoletby.exe que contiene tanto referencias al ransomware Ryuk como referencias a la ciudad de Nueva Orleans, incluidos nombres de dominio, controladores de dominio, direcciones IP internas, nombres de usuario y archivos compartidos.
Después de buscar los nombres de los archivos, Bleeping Computer también encontró un ejecutable que confirmó que era Ryuk. Dentro de ese ejecutable hay una cadena que se refiere al Ayuntamiento de Nueva Orleans, informó la publicación.
Hasta el lunes, Nueva Orleans no había confirmado si Ryuk fue utilizado o no en el ataque. Sin embargo, no sería sorprendente si realmente fuera Ryuk, dado lo activos que son los actores de esa amenaza.
Ryuk es una variante de ransomware especialmente nociva. Recientemente, entre una larga lista de grandes ataques, se ha utilizado para atacar a nuestros mayores: el mes pasado, un ataque de Ryuk congeló el acceso a registros de salud en 110 hogares de ancianos. También se utilizó recientemente en un ataque de ransomware que afectó a cientos de hospitales veterinarios.
Desde su aparición en 2018, las variantes de Ryuk (que lleva el nombre de un personaje de la serie de manga Death Note) también han sido culpadas de numerosos ataques contra los gobiernos estatales y localidades de los EEUU, incluida la ciudad de New Bedford en Massachusetts.
Cómo protegerse del ransomware
- Elige contraseñas seguras. Y no reutilices nunca las contraseñas.
- Haz copias de seguridad con regularidad. Podrían ser tu última línea de defensa contra una demanda de rescate de seis cifras. Asegúrate de mantenerlos offline donde los atacantes no puedan encontrarlos.
- Parchee rapido, parchee a menudo. Ransomware como WannaCry y NotPetya se basaron en vulnerabilidades sin parchear para extenderse por todo el mundo.
- Bloquear RDP. Las bandas cibercriminales explotan las débiles credenciales de RDP para lanzar ataques de ransomware dirigidos. Desactiva RDP si no lo necesitas, y utiliza un límite de intentos, 2FA o una VPN si lo necesitas.
- Utilice protección anti-ransomware. Ante amenazas avanzadas cuenta con soluciones de nueva generación como Sophos Intercept X para elevar al máximo la protección y evitar ataques de ransomware como Ryuk, Bytpaymer o Megacortex. Los particulares pueden protegerse con Sophos Home, soluciones empresariales para la protección de tu hogar.
Dejar un comentario