Noticias
Florence, Alabama, víctima del ransomware
Para los amantes de la arquitectura, Florence es sinónimo de la casa de los Rosenbaum. A partir de hoy, para el mundo de la seguridad, lo es también de ransomware. Y ya me gustaría dedicar esta noticia a hablar del rupturismo que supuso la usonía de Frank Lloyd Wright en lo referido a la arquitectura (aunque personalmente prefiero el racionalismo y la casa Farnsworth de van der Rohe), pero mucho me temo que, en vez de eso, tenemos que hablar de una ciudad secuestrada por un grupo de ciberdelincuentes.
Es, además, la crónica de un secuestro anunciado, puesto que KrebsOnSecurity, es decir, el investigador de seguridad Brian Krebs, detectó este ataque en una fase temprana. Pero bueno, lo mejor será empezar esta historia por el principio. Florence es una localidad de alrededor de 40.000 habitantes, situada al noroeste del estado de Alabama y a pie del río Tennessee, cuyas aguas tras sumarse a las del Ohio desembocan en el Misisipi. Es la ciudad que vio nacer a Sam Phillips, productor musical y fundador de Sun Records, es decir, la persona a la que le debemos la música de Elvis Presley, Roy Orbison, Jerry Lee Lewis, Carl Perkins, Johnny Cash y otros muchos.
El pasado 26 de mayo, siguiendo una pista de la empresa de ciberseguridad Wisc, los investigadores de Krebs detectaron un sistema con Windows 10 que podía haber caído bajo el control de DoppelPaymer, un grupo de ciberdelincuentes especializados en ransomware. Un sistema que, tras realizar ciertas pesquisas en colaboración con Hold Security, comprobaron que era el ordenador de trabajo de un administrador de la red de sistemas IT de la ciudad de Florence, Alabama. El primer acceso se produjo el 6 de mayo.
Tras hacer estas averiguaciones, la compañía de seguridad contactó (no sin cierta dificultad) con la administración pública de Florence,: Allí, tras varios saltos de teléfono, logró hablar con un administrador de sistemas que, tras agradecer el aviso, procedió (o al menos eso dijo), a aislar tanto el sistema infectado como la cuenta de red. Una cuenta de red que, por cierto, se había visto comprometida por un ataque de phishing, no olvidemos que el phishing suele ser la puerta de entrada del ransomware.
En un mundo ideal, llegado ese punto cabría entender que el ataque se habría visto frustrado. Sin embargo, y por razones que todavía están por aclarar, el pasado día 5 DoppelPaymer lanzó un ataque contra toda la infraestructura, exfiltrando y cifrando activos digitales de todas las administraciones de Florence. Acto seguido, como es común, llegó la petición del rescate abriendo un proceso de negociación, algo que se desaconseja siempre, pero que los funcionarios de las administraciones de Florence han decidido hacer.
Para dicho proceso de negociación, las autoridades de Florence han contratado los servicios de una compañía de seguridad, a resultado de lo cual, el importe exigido originariamente por DoppelPayner, 39 bitcoins (alrededor de 335.000 euros al cambio de hoy), habrían descendido hasta los 30 (alrededor de 258.000). Se desconoce si el rescate ya ha sido pagado, se ha cerrado la negociación y el pago está pendiente, o si los negociadores siguen realizando sus labores a fin de intentar reducir el importe final del rescate.
Reconozco que lo que más me intriga, en esta historia, es lo que ha ocurrido entre la comunicación entre Krebs y los responsables de IT de Florence y el ataque del día 5. Porque lo que está claro es que, aunque el equipo de IT tomara medidas, (y quiero pensar que lo hizo), el malware no llegó a salir de esa infraestructura. Y repito, quiero pensar que se actuó de inmediato pero, ¿realmente fue así? ¿Y se revisó en profundidad toda la infraestructura a posteriori? ¿Había más credenciales comprometidas y fueron empleadas posteriormente?
Imagen: Mcmullencharlie