viernes, 30 de julio de 2021

Los hackers usaron una herramienta robada a la NSA para el ataque de ransomware

A la herramienta de la Agencia de Seguridad Nacional de Estados Unidos se le conoce como 'Eternal Blue'. Algunos expertos afirman que "puede ser una señal de lo que está por venir".


Los hackers usaron una herramienta robada a la NSA para el ataque de ransomware
  • whatsapp
  • linkedin

Los hackers que ayer pusieron a muchas empresas de todo el mundo e incluso a organismos estatales contra las cuerdas usaron para su ataque cibernético herramientas que fueron robadas a la NSA , la Agencia de Seguridad Nacional de Estados Unidos. Conocida como 'Eternal Blue' es una de las herramientas o armas cibernéticas que, según antiguos oficiales de inteligencia, ha podido robar un grupo llamado 'Shadow Brokers' que ya el verano pasado comenzó a publicar herramientas de software que provenían del arsenal de armas de hackeo del gobierno de los Estados Unidos.

Según publica el New York Times, el ataque parece ser el mayor asalto de ransomware registrado hasta el momento, pero el alcance de los daños es difícil de medir. No está claro si las víctimas estaban pagando el rescate, que comenzó en 300 dólares para desbloquear ordenadores individuales, o incluso si los que pagaban volverían a tener acceso a sus datos.

Los expertos en seguridad describieron el ataque como el equivalente digital de una tormenta perfecta. La conexión con la NSA es particularmente escalofriante. A partir del verano pasado, un grupo que se llamaba a sí mismo 'Shadow Brokers' empezó a publicar herramientas de software que provenían del arsenal de armas de hackeo del gobierno de los Estados Unidos.

Este ataque parece ser la primera vez que una ciber-arma desarrollada por la NSA, financiada por contribuyentes estadounidenses y robada por "el enemigo", ha sido usada por los ciberdelincuentes contra pacientes, hospitales, empresas, gobiernos y ciudadanos comunes.

Estados Unidos nunca ha confirmado que las herramientas publicadas por los Shadow Brokers pertenecieran a la NSA u otras agencias de inteligencia, pero antiguos oficiales de inteligencia han dicho que las herramientas parecían venir de la unidad de 'Operaciones de Acceso Personalizado' de la NSA, que se infiltra en las redes de computadoras extranjeras.

Es probable que los ataques de ayer planteen cuestiones importantes sobre si el creciente número de países que están desarrollando y almacenando armas cibernéticas puede evitar que esas mismas herramientas sean robadas y se vuelvan contra sus propios ciudadanos.

Hospitales y Rusia

En Gran Bretaña, los sistemas informáticos de los hospitales fueron bloqueados y los médicos no podían acceder a los historiales de los pacientes. Las salas de urgencias se vieron obligadas a desviar a las personas que buscan atención de emergencia.

En Rusia, el Ministerio del Interior, después de negar los informes de que sus ordenadores habían sido atacados, confirmó en un comunicado que "alrededor de 1.000 ordenadores estaban infectados", lo que describió como menos del 1 por ciento del total. El ministerio, que supervisa las fuerzas policiales de Rusia, dijo que los técnicos habían contenido el ataque.

Algunos oficiales de inteligencia dudan sobre ese comunicado porque sospechan que Rusia puede estar detrás del robo de las herramientas de la NSA.

Sin embargo, James Lewis, experto en ciberseguridad del Centro de Estudios Estratégicos e Internacionales de Washington, dijo que sospechaba que los criminales que operan desde Europa del Este actuando por su cuenta eran los responsables del ataque. “No parece actividad estatal, dados los objetivos hacia los que se dirigió el ataque”, dijo.

Puede costar meses averiguar quién estaba detrás de los ataques (Algo que puede quedar sin resolver). "Cuando la gente pregunta qué te mantiene despierto durante la noche, es esto", dijo Chris Camacho, director de estrategia de Flashpoint, una firma de seguridad de Nueva York que controla los ataques. Camacho dijo que estaba particularmente preocupado por cómo los ataques se extendieron como un incendio forestal a través de redes corporativas, hospitalarias y gubernamentales.

Otro experto en seguridad, Rohyt Belani, director ejecutivo de PhishMe, una compañía de seguridad de correo electrónico, dijo que la capacidad de gusano del malware era un cambio significativo respecto a los anteriores ataques de rescate. "Esto es casi como la bomba atómica de ransomware", dijo Belani, advirtiendo que el ataque "puede ser una señal de lo que está por venir".

Una de las razones por las que el ransomware del viernes fue capaz de propagarse tan rápidamente fue que la herramienta robada a la NSA, conocida como ‘Eternal Blue, afecta a una vulnerabilidad en los servidores de Microsoft Windows. Horas después de que Shadow Brokers lanzara la herramienta el mes pasado, Microsoft aseguró a los usuarios que ya había incluido un parche para la vulnerabilidad subyacente en una actualización de software en marzo.

"Sería profundamente preocupante si la NSA sabía de esta vulnerabilidad pero no la reveló a Microsoft hasta después de ser robada", dijo el viernes Patrick Toomey, abogado de la Unión Americana de Libertades Civiles. "Estos ataques subrayan el hecho de que las vulnerabilidades serán explotadas no sólo por nuestras agencias de seguridad, sino también por hackers y criminales de todo el mundo".

Durante la administración Obama, la Casa Blanca creó un proceso para revisar las vulnerabilidades de software descubiertas por las agencias de inteligencia y para determinar cuál debería ser "almacenada" para futuras operaciones cibernéticas ofensivas o defensivas y cuáles deben ser comunicadas a las compañías para que puedan ser arregladas.

El año pasado, la administración dijo que sólo una pequeña fracción fueron retenidas por el gobierno. Pero esta vulnerabilidad parecía ser una de ellas, y fue parcheada recientemente, lo que sugiere que el NSA pudo haber concluido que la herramienta había sido robada y por lo tanto advirtió a Microsoft. Pero eso fue poco y demasiado tarde.

El viernes, los piratas informáticos aprovecharon el hecho de que los objetivos vulnerables todavía tenían que parchear sus sistemas, ya sea porque habían ignorado los avisos de Microsoft o porque estaban utilizando un software obsoleto que Microsoft ya no admite ni actualiza.

Los empleados del Servicio Nacional de Salud de Gran Bretaña fueron avisados de la amenaza el viernes. Pero fue demasiado tarde. A medida que las interrupciones se extendían a través de al menos 36 hospitales, consultorios médicos y compañías de ambulancias de toda Gran Bretaña, el servicio de salud declaró el ataque como un "incidente importante", advirtiendo que los servicios de salud locales podrían verse colapsados.

El secretario de Salud de Gran Bretaña, Jeremy Hunt, fue informado por expertos en ciberseguridad, mientras que la oficina del primer ministro Theresa May dijo en la televisión que "no estamos al tanto de ninguna evidencia de que los datos de los pacientes hayan sido comprometidos".

A medida que avanzaba el día, decenas de compañías de toda Europa, Asia y Estados Unidos descubrieron que habían sido atacadas con el ransomware. Sin la capacidad de descifrar sus datos por su cuenta, los expertos en seguridad dijeron que las víctimas que no habían hecho copia de seguridad de sus datos se enfrentaron con dos opciones: vivir sin sus datos o pagar. No estaba claro cuántas víctimas pagaron al final. Los expertos en seguridad aconsejaron a las compañías actualizar inmediatamente sus sistemas con el parche de Microsoft.

Hasta que las organizaciones usen el parche de Microsoft, Camacho dijo que podrían seguir siendo atacadas, no sólo por ransomware, sino por todo tipo de herramientas maliciosas que pueden manipular, robar o eliminar sus datos. "Va a haber muchos más de estos ataques", dijo. "Vamos a ver copias, y no sólo de ransomware, sino otro tipo de ataques”.

  • whatsapp
  • linkedin
Autor

COLUMNA CERO

Te puede interesar