A pesar de ser una amenaza veterana, el ransomware sigue reinventándose y causando problemas en varios sectores mientras los delincuentes siguen obteniendo beneficios a costa de sus víctimas. En los últimos meses hemos visto numerosos casos en los que los casos de ransomware han afectado a sectores tan diversos como el hospitalario, el industrial o las administraciones públicas (con especial atención a los ayuntamientos) y estos ataques no son algo que parezca que vayan a detenerse en breve.
Cronología del ataque
Una de las últimas víctimas de estos ataques de ransomware en Estados Unidos ha sido TrialWorks, uno de los proveedores más importantes de software para despachos de abogados. Esta empresa sufrió un incidente de seguridad el pasado 13 de octubre, lo que provocó que muchos abogados no pudiesen acceder a los documentos legales que se almacenan en su plataforma y, por ende, se retrasasen algunos procedimientos judiciales.
La empresa informó a sus clientes ese mismo día mediante un comunicado avisando que estaban experimentando problemas con su centro de datos y que estaban trabajando para solucionarlo para, un día después, informar que estaban ante un caso de secuestro de la información o ransomware. En ese mismo comunicado también informaron que estaban trabajando con empresas de ciberseguridad para resolver este incidente.
Tan solo dos días después de verse afectados por este ataque, TrialWorks informó de que sus sistemas ya estaban siendo desinfectados y los datos de sus clientes restaurándose a su estado original. Este breve espacio de tiempo entre el ataque y la recuperación de los archivos cifrados hace pensar que la empresa pagó a los delincuentes para obtener la clave de descifrado, algo que no se recomienda puesto que anima a los desarrolladores de este tipo de malware a seguir infectando a nuevas víctimas.
Consecuencias y posible responsable
Debido a la imposibilidad de acceder a documentos clave en procesos judiciales en curso, algunas firmas de abogados se vieron obligadas a solicitar a los juzgados un aplazamiento para poder presentar los documentos requeridos en cada caso. En estos casos, los abogados fueron informados por TrialWorks de que no se les podía garantizar el acceso a sus documentos antes de que llegase la fecha límite de entrega de los mismos.
De hecho, la recuperación de los archivos cifrados no fue inmediata, tal y como suele suceder en estos casos, e incluso no es descartable que algún fichero quedase dañado en el proceso y fuese irrecuperable. Así pues, algunas empresas no pudieron acceder a sus archivos almacenados en esta plataforma hasta una semana después de que TrialWorks confirmase que estaba empezando a descifrar los documentos afectados.
Sobre la variante de ransomware responsable de este incidente, no se sabe a ciencia cierta cual ha podido ser, aunque algunos expertos apuntan a similitudes con casos acontecidos el pasado verano. En estos ataques anteriores el responsable fue el ransomware Sodinokibi/REvil, heredero de GandCrab y que ya ha provocado incidentes similares durante los últimos meses.
Conclusión
Incidentes como este y los que se vienen produciendo desde hace meses demuestran que el ransomware sigue muy presente. Ahora, sin embargo, parece que las variantes más relevantes han dejado de lado los usuarios finales y se centran en atacar a empresas y organismos oficiales puesto que saben que sus datos son valiosos y serán más propensos a pagar.
Para evitar tener que hacerlo deberemos aplicar una serie de medidas que nos ayudarán a estar preparados ante un incidente de este tipo y, en caso de vernos afectados, poder restaurar los sistemas y la información afectados en el menor tiempo posible sin ceder a este chantaje.