Un ataque similar a Wannacry

Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas

Prisa Radio y varias consultoras tecnológicas como Everis están sufriendo serios ciberataques. Es un 'ransomware' que secuestra archivos y pide un rescate en bitcoins

Foto: (EFE)
(EFE)

Varias empresas españolas han sufrido hoy un serio ataque de 'ransomware' que recuerda al vivido a mediados de 2017 con Wannacry. Los primeros ataques confirmados de forma oficial los han sufrido la Cadena SER y otras emisoras de Prisa Radio, pero también varias consultoras tecnológicas, de las cuales Everis ha confirmado oficialmente estar afectada. "Estamos sufriendo un ataque masivo de virus a la red de Everis. Por favor, mantengan los PC apagados". Es el mensaje interno que ha remitido Everis a sus empleados, según ha podido confirmar este diario y han publicado también varios medios especializados. La compañía confirma que ha enviado a sus trabajadores a casa hasta que puedan solventar la incidencia.

"Prisa Radio ha sufrido esta madrugada un ataque de virus que ha tenido una afectación grave y generalizada de todos nuestros sistemas informáticos. Los técnicos especializados en este tipo de situaciones aconsejan encarecidamente la desconexión total de todos los sistemas con el fin de evitar la propagación del virus. Hablamos, por tanto, de una situación de extrema emergencia", ha comunicado esta mañana la empresa en un mensaje interno al que ha tenido acceso este diario.

"A partir de ese momento, se irá chequeando puesto a puesto —siguiendo las instrucciones precisas que os enviará el Departamento de Sistemas— para autorizar en los casos en que haya garantía absoluta la puesta en marcha de cada equipo. Por el momento, y hasta nuevo aviso, la emisión de Cadena SER queda centralizada en Radio Madrid; quedan anuladas todas las emisiones locales y regionales, salvo aquellas que hayan sido autorizadas expresamente por la Dirección de Antena. En este momento, la seguridad es la máxima de la compañía, por encima de cualquier otro compromiso. Cualquier acción individual no autorizada puede poner en peligro el trabajo de rescate que se está llevando a cabo", cierra el mensaje.

(Reuters)
(Reuters)

Según ha podido confirmar Teknautas con empleados de la SER, la mayoría de ordenadores están bloqueados y los empleados no pueden trabajar o lo tienen que hacer desde casa. Tampoco hay acceso a internet en la mayoría de terminales. Otras compañías se han visto afectadas por el ciberataque aunque, de momento, solo Prisa Radio y Everis lo han confirmado de forma oficial.

Este diario ha podido también confirmar como verídicas las imágenes del bloqueo de ordenadores en Everis (se pueden ver en la imagen debajo). Los ordenadores afectados conectados a la red de la compañía muestran el siguiente mensaje en inglés. "Hola, Everis, tu red ha sido 'hackeada' y cifrada. No hay 'software' gratuito de descifrado disponible. Envíanos un 'e-mail' a sydney.wiley@protonmail.com o evangelina.mathews@tutanota.com para saber la cantidad del rescate".

El Instituto Nacional de Ciberseguridad (Incibe), dependiente del Ministerio de Energía, Turismo y Agenda Digital, ha asegurado a este diario que están analizando la situación y asesorando a las empresas afectadas. "En estos momentos, trabajamos en la mitigación y recuperación del incidente en coordinación con las empresas afectadas y las empresas de ciberseguridad que les dan soporte, como parte de nuestra operativa habitual", ha explicado el organismo en un comunicado. No han ofrecido de momento un número concreto de compañías afectadas ni ningún detalle del vector de entrada del 'malware'.

El Departamento de Seguridad Nacional (DSN), dependiente de Presidencia de Gobierno, ha publicado también un breve comunicado confirmando el ciberataque y las medidas que ha tomado la SER. "Este tipo de ataque se produce con bastante frecuencia. En 2016, el Instituto Nacional de Ciberseguridad gestionó unos 2.100 incidentes similares a este. Se trata de un 'malware' del tipo 'ramsonware' que actúa sobre la vulnerabilidad de los componentes de ofimática de los PC, cifrando todos los archivos y los de las unidades de red a las que estén conectados, e infectando al resto de sistemas de Windows que haya en esa misma red. Tras instalarse en el equipo, bloquea el acceso a los ficheros del ordenador afectado y pide un rescate. La vía de infección parece ser un fichero adjunto a un correo electrónico. No compromete la seguridad de los datos ni se trata de una fuga de datos".

Varios especialistas en ciberseguridad consultados señalan que ahora mismo hay dos posibles vectores de entrada. Por un lado, un fallo reciente en varias versiones de Windows y servidores empresariales de Microsoft bajo el nombre BlueKeep, un fallo del que avisó hasta el Gobierno de EEUU. Microsoft alertó por primera vez del problema el pasado 14 de mayo y luego de nuevo el día 30, urgiendo a las empresas a actualizar las versiones de 'software'. Hasta hoy.

Un pantallazo del 'ransomware' WannaCry que en 2017 afectó a cientos de empresas en todo el mundo. (Reuters)
Un pantallazo del 'ransomware' WannaCry que en 2017 afectó a cientos de empresas en todo el mundo. (Reuters)

El otro posible vector de entrada apunta al 'ransomware' Ryuk, un programa de origen ruso que ha encriptado ya las bases de datos de varios consistorios españoles y que preocupa incluso al FBI. El más afectado en España fue el Ayuntamiento de Jerez, cuyos sistemas quedaron secuestrados el 2 de octubre. El programa pedía un importante rescate en bitcoins para liberarlos. Este mismo virus ha atacado otras instituciones españolas como el Ayuntamiento de Bilbao, el de Santurtzi o la Fundación Hazi. También en otros países: en los últimos días, varios hospitales de Estados Unidos y Australia han sufrido ataques muy similares al de Jerez, todos con la firma de Ryuk.

"Ambos vectores de infección son muy posibles, son formas directas, sencillas y baratas de conseguir un efecto contagio. Este tipo de 'ransomware' se caracteriza por que solo con encender el ordenador este ya se bloquea y sirve de foco de contagio para el resto de la red", explica a Teknautas el especialista en ciberseguridad Sergio de los Santos. De momento, ninguna empresa u organismo oficial en España ha confirmado que se trate del 'ransomware' Ryuk, pero todas las pistas señalan en esa dirección.

Tecnología
Escribe un comentario... Respondiendo al comentario #1
8 comentarios
Por FechaMejor Valorados
Mostrar más comentarios