Ryuk, BitPaymer, BlueKeep o bug en Teams: posibles causas del ciberataque a Everis y La Ser


Esta semana comenzó ayer con un sobresalto en varias empresas españolas: un ciberataque había afectado a los sistemas de varias, de las que Everis y la Cadena Ser, del Grupo Prisa Radio, fueron las más afectadas. Ambas tuvieron que desconectar sus sistemas, infectadas por un ransomware, y sus empleados no tuvieron otro remedio que marcharse a casa a trabajar o hacerlo con unos medios muy limitados: sin poder acceder a sus equipos ni a Internet desde su puesto de trabajo.
Mientras, los rumores de que otras empresas estaban afectadas corrían como la espuma, y consultoras como Accenture o KPMG acudieron a las redes varias horas después de iniciados los ciberataques para desmentir que estuviesen afectadas. Otras compañías decidieron, a la vista de los acontecimientos, tomar precauciones y desconectar sus sistemas para comprobar su estado y cerciorarse de que no les había tocado la china del ciberataque.
Una vez pasadas las primeras horas de nervios, que trajeron a muchos recuerdos de lo sucedido con WannaCry en 2017, llegó el momento de hacer recuento de daños y de investigar lo sucedido. El Incibe emitió un comunicado en el que confirmaban que estaban al tanto de lo ocurrido y anunciaban que trabajaban con las empresas afectadas para recuperar sistemas y evaluar daños. El DSN también confirmó que tenían conocimiento del ataque a La Ser, además de ofrecer algunos breves detalles sobre este tipo de incidentes.
Mientras, comenzaban a surgir las primeras preguntas sobre el origen de este ciberataque, que habían infectado con ransomware los equipos y sistemas de las empresas afectadas. Básicamente, como resultado del ataque, los archivos de los equipos y sistemas afectados habían visto como sus archivos quedaban cifrados e inaccesibles a no ser que se pagase la cantidad que se les solicitaba como rescate, que hasta ahora se desconoce.
Todo apuntaba a tres posibles vectores de entrada del ransomware en los sistemas, que habría llegado a través de un archivo asociado a un mensaje de correo electrónico y que tras ejecutarse afectó a los equipos con sistema operativo Windows. Por un lado, se especula con que la infección en la Cadena Ser se habría producido debido a una vulnerabilidad presente en el software de colaboración de Microsoft Teams. Por otro, de que la entrada se hubiese producido a causa de una de las múltiples campañas de spam detectadas en las últimas semanas.
Mientras tanto, otras voces apuntan a que los ataques pueden estar relacionados de alguna manera con la vulnerabilidad BlueKeep. Esta, descubierta el pasado mes de mayo, cuenta con una solución desde hace varios meses, ya que Microsoft emitió un parche que la solucionaba hace unos meses. Se trata de un fallo que afecta al Protocolo de Escritorio Remoto de Windows XP, 7 y Server 2008; y es bastante grave y peligroso, por lo que proteger el sistema mediante la instalación del parche que lo soluciona es, más que aconsejable, imprescindible. Puedes leer aquí el resto de la noticia.

No olvides Compartir...


Siguenos en twitter: @disoftin - @fredyavila