Weiz, una pequeña ciudad de Austria, ha sido víctima de un ataque de ransomware perpetrado por el grupo NetWalker, el cual ha publicado datos robados de la red de la ciudad. Así lo reportó la compañía de seguridad cibernética Panda Security el pasado 27 de mayo.
El grupo infectó a toda la red de la ciudad, la cual es considerada como el centro económico de la región de Oststeiermark, y donde hay sitios de producción de grandes empresas de los ramos automotriz y construcción. Entre los datos publicados hay extractos de aplicaciones de construcción e inspección de obras, según reportó la compañía de ciberseguridad.
Panda Security señaló que el grupo de ciberdelincuentes anunció el ciberataque a través de la red social Twitter. La compañía infirió que el ataque se pudo haber producido a través de phishing:
«El Grupo Ransomware anunció el ciberataque a través de Twitter. El ataque probablemente se llevó a cabo a través de correos electrónicos de phishing. Los cibercriminales enviaron el malware a través de archivos adjuntos de correo electrónico y utilizaron el tema «Información sobre el coronavirus» como cebo. Las computadoras individuales fueron infectadas por el ransomware, posiblemente toda la red municipal estaba infectada. La ciudad de Weiz aún no ha hecho una declaración oficial sobre el ataque de los piratas informáticos». Panda Security.
Desde Panda Security explicaron que el ransomware NetWalker es una versión relativamente nueva de una familia de ransomware, la cual no mencionaron. La compañía de ciberseguridad expresó que NetWalker «se propaga a través de correos electrónicos de phishing usando VBScript y, si la infección es exitosa, se propaga a la red de Windows de la víctima«, manifestó el equipo de Panda Security.
La compañía expandió que este tipo de software malicioso termina los servicios y procesos en Windows y procede a cifrar los archivos presentes en todos los discos accesibles; además, elimina las copias de seguridad.
Panda Security infiere que el grupo detrás de NetWalker también es responsable de otros ataques cibernéticos, como el perpetrado en contra de una autoridad sanitaris en Illinois, Estados Unidos, así como también contra una empresa de transporte de Australia. Los analistas de seguridad de Panda Security afirmaron que los ataques de ransomware seguirán siendo una de las mayores amenazas durante este año.
Auge de ataques de ransomware
En abril, la Organización Internacional de Policía Criminal (Interpol) emitió una advertencia acerca de un aumento significativo de ataques con ransomware en medio de la crisis mundial por el COVID-19. Interpol explicó que los ciberdelincuentes están atacando y cifrando sistemas de hospitales y exigiendo rescates en bitcoin (BTC).
A principios de mayo se conoció que la empresa australiana de logística Toll Group y la productora de lencería MAS Holdings habían sido atacadas por un nuevo ransomware, denominado Nefilim. Con respecto a este última compañía, los hackers afirmaron haber robado unos 300 GB de datos, incluyendo datos de cliente, de diseños y demás.
Por otra parte, la compañía británica de seguridad cibernética Sophos anunció el pasado 21 de mayo la detección de un nuevo ransomware, denominado Ragnar Locker, el cual implementa una máquina virtual completa en equipos de redes empresariales y exige rescate en criptomonedas, específicamente el monto de 1.580 BTC.
Ragnar Locker se vale de la máquina virtual completa que instala para ocultarse en los dispositivos. Según Sophos, Ragnar Locker se instaló dentro de una máquina virtual Oracle VirtualBox con Windows XP en un ataque recientemente detectado.
El pasado 27 de mayo, el equipo de seguridad cibernética de Microsoft divulgó el descubrimiento de un nuevo ransomware basado en Java, llamado PonyFinal, que ataca principalmente al sector sanitario. Desde Microsoft explicaron que con este ransomware no se requiere ninguna interacción de parte del usuario, sino que es desplegado de forma manual por los ciberdelincuentes, tras destruir los sistemas de seguridad.
Un ransomware o malware de rescate lleva a cabo un secuestro de datos. De acuerdo con Malwarebytes, «el ransomware es una forma emergente de malware que bloquea al usuario de sus archivos o su dispositivo, luego exige un pago anónimo en línea para restaurar el acceso». Los primeros ransomware, desarrollados a finales de la década de 1980 exigían que el pago del rescate se hiciera por correo postal; hoy en día es exigido en tarjeta de crédito o criptomonedas como bitcoin y monero.
En abril, el grupo de ciberatacantes detrás del ransomware Sodinokibi anunciaron que habían comenzado a sustituir los rescates en bitcoin por rescates en monero, por cuestiones de anonimato y privacidad.
Imagen destacada por Pete Linforth / pixabay.com
