El ransomware de Baltimore
El ataque de ransomware de Baltimore de mayo de 2019, que afectó a gran escala a empresas, organismos gubernamentales y servicios públicos, puso patas arriba la ciudad y costó hasta 18 millones de dólares subsanar los daños causados. Analizaremos cómo se produjo el ataque de ransomware de Baltimore, las consecuencias y qué pueden hacer las empresas para aprender de estos incidentes y protegerse contra el ransomware.
Proteja su empresa del ransomware con Avast Business Server Antivirus
¿Cuándo tuvo lugar el ataque de Baltimore?
El ataque de ransomware de Baltimore ocurrió el 7 de mayo de 2019, en un momento ya turbulento para la ciudad. La exalcaldesa de Baltimore, Catherine Pugh, acababa de dejar su cargo el 2 de mayo tras un escándalo, cargos penales y posterior encarcelamiento; su sucesor, Bernard C. Young, tomó el timón el 9 de mayo. Los hackers atacaron la infraestructura digital de la ciudad en un momento en el que las prioridades de ciberseguridad de la ciudad habían pasado a un segundo plano. El ataque duró más de dos semanas.
El ataque de 2019 era el segundo que la ciudad sufría víctima de una filtración de datos. En marzo de 2018, un ataque de ransomware inutilizó los sistemas de emergencia de la ciudad durante más de 12 horas, y el 25 de noviembre de 2020, un tercer ataque de ransomware afectó a la Escuela Pública del Condado de Baltimore, perjudicando a más de 170 escuelas, numerosos sistemas educativos y hasta 115 000 estudiantes.
¿Cómo se produjo el ataque del ransomware de Baltimore?
El 7 de mayo de 2019, el Departamento de Obras Públicas de Baltimore tuiteó que sus servicios de correo electrónico no estaban disponibles. El apagón se extendió entonces a sus líneas telefónicas. Tras esto, se produjo un efecto dominó en toda la ciudad, ya que hasta 10 000 sistemas gubernamentales, incluidos los del Departamento de Transporte, quedaron inaccesibles.
Fue un intento de ciberataque a las líneas telefónicas de emergencia, similar al exitoso ataque de ransomware a la ciudad en 2018, lo que levantó las sospechas. Los funcionarios municipales, en colaboración con el FBI, pudieron identificar entonces que la ciudad había sido víctima de un ataque del ransomware RobbinHood.
Los hackers maliciosos utilizaron RobbinHood para bloquear a los funcionarios del gobierno de todos los sistemas operativos, manteniendo todos los datos como rehenes y haciendo inaccesibles todos los sistemas y aplicaciones. Dos días después del ataque inicial, los hackers publicaron una nota de rescate dirigida al nuevo alcalde, que exigía tres Bitcoin por sistema bloqueado o 13 Bitcoin (hasta 76 000 dólares) por todos los sistemas para recuperar el acceso. La nota añadía que el rescate aumentaría en 10 000 dólares cada día a partir del 11 de mayo si no se realizaba ningún pago y que todos los datos comprometidos se borrarían permanentemente.
¿Qué es RobbinHood?
Robbinhood es un tipo de ransomware sofisticado que se hace eco de métodos más sofisticados vistos en tipos de ransomware avanzados, como Ryuk, Locky, y Petya entrando a través de Protocolos de Escritorio Remoto (RDP) pirateados. Los hackers pueden cortar la conexión entre su hardware asociado y la red, erradicar sus defensas de ciberseguridad (así como cualquier software de recuperación) y restringir el acceso a todos los archivos y carpetas a través del cifrado. Esto hará imposible cualquier posible recuperación de datos confidenciales a menos que se pague un rescate a cambio de una clave de descifrado.
¿Cómo respondió la ciudad?
Cuando el alcalde Young fue notificado de que la ciudad había sido objeto de un ataque, emitió un comunicado oficial en el que destacaba que un número considerable de servicios de la ciudad habían sido sustituidos temporalmente por procesos manuales y que muchos servicios gubernamentales no estaban disponibles, como el sistema de pago con tarjeta de la ciudad que permitía a los ciudadanos pagar los impuestos sobre la propiedad y las tasas de aparcamiento. Sin embargo, también declaró que la ciudad estaba trabajando junto con el FBI y expertos en tecnología, como Microsoft, para restaurar todos los sistemas. Reconoció que podría llevar semanas o incluso meses poner remedio, ya que habría que reconstruir varios sistemas.
Durante dos semanas, los empleados municipales no pudieron acceder a su sistema de correo electrónico. De ahí que crearan cuentas de Gmail para contrarrestar el impacto y permitir a los ciudadanos pagar servicios esenciales, como las facturas del agua. Desgraciadamente, la creación de cuentas masivas alertó a los sistemas de spam de Google y provocó que estas cuentas también fueran bloqueadas; tras ser notificado, Google desbloqueó estas cuentas.
En general, se pensó que la Agencia de Seguridad Nacional (NSA) era la responsable del ataque ransomware, ya que se creía que los hackers habían utilizado la herramienta de explotación EternalBlue (creada previamente por la NSA) para penetrar en los sistemas Windows. La herramienta fue robada y filtrada por Shadow Brokers en abril de 2017, convirtiéndose en una herramienta popular en el ransomware nuevo y en desarrollo, por lo que se pensó que era el punto de acceso para el ataque.
El asesor principal del director de estrategia de ciberseguridad de la Agencia de Seguridad Nacional (NSA), Rob Joyce, respondió que centrarse en EternalBlue fue un acto «miope»; Microsoft envió parches para contrarrestar EternalBlue, y Baltimore tuvo más de dos años para remediar esta y cualquier otra debilidad dentro de su infraestructura de TI. Tras examinar el ataque más a fondo, el analista de malware Joe Stewart determinó que, de hecho, no había rastro del exploit EternalBlue en el código del ransomware, pero que podría haber ayudado a la propagación del malware.
¿Pagó el Condado de Baltimore el rescate?
El Condado de Baltimore no pagó el rescate, a pesar de las crecientes presiones, como la liberación por parte de los hackers de datos sensibles relacionados con los empleados de la ciudad y las amenazas adicionales de liberar más información. La mayoría de los sistemas operativos de la ciudad volvieron a funcionar a mediados de junio, mientras que varios sistemas, como los relacionados con los permisos electrónicos, los bienes inmuebles y las cuentas de los empleados, estaban plenamente operativos a finales de ese mes.
El alcalde Young publicó una declaración en vídeo en Twitter en respuesta a las críticas públicas y a los llamamientos para que se pague el rescate. Concretamente, estas fueron sus declaraciones:
«En primer lugar, tanto el Servicio Secreto como el FBI nos han aconsejado que no paguemos el rescate. En segundo lugar, no es así como funcionamos. No recompensaremos la conducta delictiva. Si pagamos el rescate, no hay garantía de que puedan o quieran desbloquear nuestro sistema».
«No hay forma de rastrear el pago ni siquiera de poder confirmar a quién estamos pagando el dinero. Debido a la forma en que solicitaron el pago, no hay forma de saber si están dejando otro malware en nuestro sistema para pedirnos un rescate de nuevo en el futuro. En última instancia, seguiríamos teniendo que tomar todas las medidas que hemos adoptado para garantizar un entorno seguro y protegido. Estoy seguro de que hemos adoptado la mejor medida»
La jefa de gabinete adjunta del alcalde para operaciones, Sheryl Goldstein, añadió:
«Los investigadores federales nos han aconsejado que no paguemos el rescate. Los datos muestran que tiene menos de un 50-50 de posibilidades de recuperar sus datos si paga el rescate, e, incluso si paga el rescate, todavía tiene que entrar en su sistema y asegurarse de que están fuera de él. No se podía simplemente recuperar la información y creer que ahí acababa todo, por lo que estaríamos soportando gran parte de estos costes a pesar de todo».
¿Cuáles fueron las consecuencias del ataque del ransomware de Baltimore?
El ataque de ransomware a la ciudad de Baltimore en 2019 duró aproximadamente un mes y costó 18,2 millones de dólares resolver las interrupciones del servicio, incluyendo la reparación, el nuevo hardware y los ingresos perdidos o aplazados. El 35 % de los más de 10 000 empleados municipales recuperaron el acceso a sus cuentas en este tiempo, cifra que alcanzó el 95 % en los meses siguientes.
De forma similar al ataque de ransomware de Atlanta en 2018, el de Baltimore afectó a departamentos gubernamentales, servicios públicos y de aparcamiento, que tuvieron que ser procesados manualmente.
A diferencia del ataque de ransomware al NHS en el Reino Unido, que afectó significativamente a los servicios de misión crítica, los servicios de urgencias de Baltimore no se vieron directamente afectados por el ataque de RobbinHood y siguieron funcionando. Sin embargo, sí afectó al mercado inmobiliario de la ciudad de Baltimore, ya que los empleados no pudieron completar las ventas de propiedades hasta finales de junio.
Al tratarse del segundo ataque de ransomware en Baltimore en 15 meses, la ciudad fue objeto de críticas, pero desde entonces ha introducido medidas preventivas para garantizar que no se produzca otro ataque. Estas incluyen la creación de un comité de ciberseguridad, encabezado por el presidente del Consejo, Brandon Scott. El comité trabajó en la realización de una revisión exhaustiva de las vulnerabilidades de la ciudad y de la respuesta al ataque con el fin de introducir nuevas políticas, prácticas y tecnologías para desarrollar una infraestructura informática robusta.
Ataque a las escuelas públicas del Condado de Baltimore en 2020
Las escuelas públicas del Condado de Baltimore fueron víctimas de un tercer ataque de ransomware el 24 de noviembre de 2020, dos días antes de Acción de Gracias. A pesar de dos casos anteriores de ransomware de gran repercusión en la ciudad, las medidas para proteger las enormes cantidades de datos confidenciales eran deficientes. Se cifraron todos los datos confidenciales y los sistemas escolares asociados, lo que afectó a «todos los ámbitos del sistema de educación pública del Condado de Baltimore».
A pesar de contar con copias de seguridad de los datos existentes, se calcula que el coste de la recuperación superó los 8 millones de dólares. Más de 9000 ordenadores portátiles del personal fueron reimplantados (se borraron los discos duros y se instalaron nuevos sistemas operativos) tras el ataque, así como los dispositivos de los estudiantes. Algunos datos o planes de estudio se perdieron para siempre, y la red de la escuela tuvo que reconstruirse por completo.
El suceso provocó interrupciones generalizadas en los medios de aprendizaje a distancia de hasta 115 000 estudiantes, que en ese momento eran esenciales debido a la pandemia de COVID-19. El cambio a largo plazo hacia el trabajo a distancia e híbrido ha llevado a un número creciente de terminales finales, provocando riesgos adicionales de ciberseguridad.
Aunque no se ha confirmado si se pagó un rescate, las Escuelas Públicas del Condado de Baltimore se han comprometido a:
- Reconstruir y fortificar su infraestructura informática
- Introducir nuevos procesos, como la autenticación multifactor (MFA) para todo el personal
- Instalar cortafuegos de nueva generación y protecciones de dispositivos mejoradas
Sin embargo, en 2021, la presidenta de la Asociación de Profesores del Condado de Baltimore, Cindy Sexton, observó que la disfunción seguía sin resolverse en algunos sistemas, entre ellos los sistemas de nóminas de la institución: a muchos miembros del personal se les pagó de más, de menos o se les adeudaban pagos atrasados.
¿Qué podemos aprender de los ataques de ransomware de Baltimore?
Aunque el rescate exigido fue muy inferior al coste que supuso recuperarse del ciberataque, el alcalde Young destacó de forma concisa varias razones por las que no debía pagarse un rescate:
- Los hackers no deben ser recompensados por su comportamiento delictivo, ya que esto podría abrir la ciudad a nuevos ataques de ransomware en el futuro.
- No hay garantía de que sus sistemas y datos asociados se desbloqueen si se efectúa el pago
Los ataques de ransomware de Baltimore ponen de relieve los peligros de un software de seguridad y unas prácticas informáticas obsoletos. El ransomware puede costar caro a su empresa, por no mencionar el daño a la reputación. Es vital tomar medidas proactivas para actualizar sus procesos de ciberseguridad, que deben incluir:
- Instalar un antivirus robusto con herramientas integradas de protección contra el ransomware
- Realizar copias de seguridad periódicas
- Crear un Plan de continuidad de las actividades
- Formación del personal en aspectos básicos de ciberseguridad
Deje que Avast proteja su empresa contra los ataques de ransomware
Adopte medidas de seguridad esenciales para defender y proteger su empresa contra la amenaza de los ataques de ransomware. Invierta en un software antivirus empresarial que pueda proteger los servidores Windows, parchear vulnerabilidades y detectar y prevenir actividades maliciosas en sus redes.