Tres empreses afectades pel ciberatac per segrestar dades

Tres empreses es van veure afectades durant el cap de setmana passat a causa d’un atac informàtic d'un grup criminal que va permetre als hackers accedir a totes les dades internes, segons ha xifrat l'Agència Nacional de Ciberseguretat. El responsable de l’entitat, Jordi Ubach, ha explicat que una de les empreses afectades és del sector tecnològic i les altres dues eren pimes. “De moment, només tenim constància d’aquestes tres, ja que no totes estan obligades a notificar-nos quan són danyades”, relata.

L’atac va tenir lloc del divendres al diumenge de la setmana passada i en els tres casos es va detectar l’incident quan encara estava “en un estat embrionari”. Ubach detalla que encara “s’ha d’investigar què ha passat” i “valorar els danys que s’hagin pogut ocasionar”. El responsable de l'ANC indica que els delinqüents van atacar aprofitant “les vulnerabilitats dels sistemes de seguretat” de les companyies.

Aquests crims solen tenir dues motivacions: o bé demanar un rescat a l’empresa en qüestió perquè pugui recuperar les dades compromeses, o bé vendre les dades sostretes per aconseguir també una partida econòmica. El mètode emprat pels ciberdelinqüents no és innovador. Introdueixen un ransomware que ataca el router a causa d’alguna vulnerabilitat o error de seguretat en la VPN (Virtual Private Network) o xarxa privada.

L’atac és semblant al que va patir fa uns mesos un proveïdor i que va afectar diversos clients importants. De manera resumida, el ciberdelinqüent pren control de l’equip o sistema infectat i el segresta de diverses maneres, xifrant la informació, bloquejant la pantalla. Si no hi ha hagut la prevenció de fer un duplicat de tota la informació, l’usuari només té l’opció de negociar amb els atacants per aconseguir el desbloqueig i tornar a tenir el control.

L’atac maliciós funciona amb VPN vulnerables. L’usuari és després víctima d’una extorsió, se li demana un rescat econòmic a canvi de recuperar el funcionament normal del dispositiu o sistema, normalment un pagament amb bitcoins. Els ransomwares s’utilitzen per obtenir un benefici econòmic mitjançant l’extorsió de les víctimes. Un cop infectats per un ransomware no és fàcil la desinfecció i sovint és impossible.

L’Agència Nacional de Ciberseguretat, que ahir va confirmar aquesta incidència, està treballant en aquest atac i analitzant si el nombre d’afectats és reduït o important. Les empreses disposen d’un marge de 72 hores per comunicar l’atac a l’organisme després de rebre’l per tal que l’agència pugui ser un punt de contacte i pugui compartir informació amb la resta d’entitats afectades.

El ransomware és un tipus de programari maliciós que xifra els fitxers al dispositiu de la víctima i exigeix un rescat a canvi de la clau de desxifrat. Si bé els atacs de ransomware solen estar associats a ordinadors, els routers no són immunes a aquestes amenaces. Són un component essencial de qualsevol infraestructura de xarxa, responsables de dirigir el trànsit d’internet entre dispositius. Actuen com una porta d’enllaç entre la xarxa local i internet, fet que els converteix en un objectiu atractiu per als cibercriminals. Quan es controla un router, els atacants poden obtenir el control de tota la xarxa i potencialment infectar tots els dispositius connectats. Per infectar aquests aparells un mètode comú és explotar vulnerabilitats al programari del router. Els fabricants treuen actualitzacions amb regularitat per solucionar aquestes vulnerabilitats, però si el router no s’actualitza, continua sent susceptible a atacs. Els grups d’amenaces de ransomware també estan explotant errades de seguretat a les VPN i contrasenyes febles per obtenir accés inicial a les xarxes de les víctimes.