Estos días se detectaba un ciberataque que se estaba cebando en la crisis del coronavirus. Mensajes de correo electrónico eran parte de una campaña de phishing y contenían enlaces que hacían que la víctima pudiese potencialmente infectar sistemas hospitalarios con un ransomware.
De haber infectado esos sistemas, los hospitales españoles se hubieran visto colapsados ante la incapacidad de poder seguir accediendo a sus sistemas informáticos. Afortunadamente el ataque no ha afectado a los hospitales, pero los expertos avisan: en realidad es parte de un trágico ataque global de phishing que usan el coronavirus como excusa para intentar colarse en nuestros ordenadores.
El coronavirus como trampa para instalar ransomware
En los correos que están llegando (entre muchos otros) al personal sanitario desde hace aproximadamente una semana se invita al usuario a pinchar en enlaces para obtener más información sobre la pandemia, pero dichos enlaces son en realidad una trampa que provoca que por ejemplo la víctima instale sin saberlo un ransomware llamado Netwalker.
Sobre ataques a hospitales, lo que hay es campaña de spam internacional para distribuir ransomware. El email adjunta el fichero CORONAVIRUS_COVID-19.vbs -> https://t.co/X7SMI4aOIY descarga y ejecuta -> https://t.co/34svgWx1QO que es el ransomware NetWalker
— Bernardo Quintero (@bquintero) 23 de marzo de 2020
Ese ransomware hubiera causado el mismo efecto que por ejemplo vimos hace casi tres años con el ciberataque WannaCry. En aquella ocasión diversas empresas en todo el mundo vieron como sus equipos e infraestructuras quedaban bloqueadas por un ransomware que exigía el pago de una cantidad en criptomonedas o de lo contrario los usuarios no podrían desbloquear esos equipos y volver a acceder a sus datos.
Como explicaba Bernardo Quintero (@bquintero), de VirusTotal, en realidad ese teórico ciberataque dirigido a hospitales es en realidad parte de "una campaña internacional para distribuir ransomware".
Muchos son los correos de phishing que están circulando a nivel global y que se disfrazan de información legítima para engañar a todo tipo de usuarios y lograr infectar equipos con ransomware como NetWalker. Han aparecido sitios web como este en los que se recopilan mensajes falsos para que quienes sospechen puedan cotejar lo que les llega con esos mensajes ya confirmados como falsos, por ejemplo.
Algunos cibercriminales tienen algo de ética: no atacan hospitales
En Xataka nos poníamos en contacto con Román Ramírez (@patowc), experto en ciberseguridad y responsable del conocido evento Rooted CON. Ramírez nos explicaba cómo lo que explicaba Bernardo Quintero era "correctísimo", y puntualizaba: hay desde luego "muchos grupúsculos criminales que harán y están haciendo el agosto" con este tipo de correos, pero curiosamente hay un movimiento con un componente "honesto" entre algunas mafias cibercriminales.
Ramírez nos dirigía a lo que contaban por ejemplo en Bleeping Computer: varios de los responsables de ataques ransomware como los creadores del ransomware DoppelPaymer confesaban que "siempre tratan de evitar hospitales y residencias de ancianos".
De hecho si sus ciberataques acaban afectando a hospitales, explicaban "proporcionaremos un código de descifrado de datos de forma gratuita", aunque esa excepción no afectaba a las compañías farmacéuticas, que según estos cibercriminales "ganan un montón de dinero extra gracias al pánico".
Lo mismo sucedía con los creadores del ransomware Maze, que también indicaban en un comunicado público que "pararemos toda actividad que va contra las organizaciones médicas hasta que se estabilice la situación con el virus".
Incluso los creadores de Netwalker, el ransomware que se detectó en el caso de los hospitales españoles, indicaban que ellos no tenían esa intención. "¿Hospitales e instalaciones médicas? ¿Creéis que alguien tiene como objetivo atacar a hospitales? No tenemos ese objetivo, nunca lo ha sido. Es una coincidencia. Nadie intentaría hackear a propósito un hospital". Eso sí, si se ven afectados aun por accidente, explicaban, "tendrán que pagar por el descifrado [de los datos]".
Ver 11 comentarios