Un virus malicioso (malware, en concreto del tipo ramsomware) ha afectado esta mañana, en plena guerra informática, a los equipos del personal de Telefónica que trabaja en la sede central de la operadora en el Distrito C de Las Tablas, en Madrid.
No se ha echo esperar el ataque. El pasado 9 de mayo publicábamos la noticia de que el grupo de hackers Shadow Brokers filtró varias herramientas de hacking y exploits dirigidas a sistemas y servidores que ejecutan Microsoft Windows. Y aunque, todavía, no se ha confirmado dicho extremo, todo indica que pudiera tener relación.
smartLIGHTING publicaba una información de la empresa Trend Micro muy importante en relación con la actualidad en ciberseguridad. La información que publicábamos decía que el pasado 14 de abril, el grupo de hackers Shadow Brokers filtró varias herramientas de hacking y exploits dirigidas a sistemas y servidores que ejecutan Microsoft Windows. Varias de ellas eran herramientas de las que se informó que estaban dirigidas a organizaciones financieras de todo el mundo. El grupo de hacking inicialmente puso estos “tesoros” de malware robado a la venta el año pasado, pero tras su fracaso, lo ha liberado paulatinamente desde entonces.
El último lanzamiento de malware lanzado por Shadow Brokers permite a los atacantes romper sistemas (incluyendo Linux), redes y firewalls.
¿Qué sistemas y plataformas están afectados?
Los análisis iniciales (y en curso) de Trend Micro encontraron más de 35 troyanos que robaban información incluidos en esta última fuga. El volcado incluía exploits dirigidos a varios sistemas y vulnerabilidades del servidor, junto con Fuzzbunch, un marco de trabajo de hacking orientado a la red (similar a la herramienta de detección de penetración Metasploit) que ejecuta los exploits.
El virus provoca la detención del ordenador, cuya pantalla se vuelve azul, inutilizando el equipo. Horas después, el Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI), ha confirmado en una nota que se trata de un virus que afecta a un «elevado número de organizaciones».
«Se ha alertado de un ataque masivo de ramsomware a varias organizaciones que afecta a sistemas Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que haya en esa misma red», dice el organismo.
El ataque de hoy
Ahora una decena de grandes empresas españolas de servicios han sufrido en el día de hoy un ciberataque masivo a través de un virus malicioso, de tipo randsomware, que bloquea los equipos y solicita un rescate para desbloquearlos. La compañía más afectada fue Telefónica, ya que varios centenares de ordenadores de su sede central del Distrito C de Madrid se vieron infectados El gobierno reconoció el ataque y se puso en contacto con las empresas afectadas para evaluar el impacto del mismo. Tanto las compañías como la administración lanzaron un mensaje de tranquilidad al asegurar que el virus solo afectado equipos corporativos pero en ningún caso a los servicios de telecomunicaciones, banca energía y seguros de los millones de clientes de las empresas atacadas. Algunas compañías como Vodafone o Iberdrola ordenaron a sus empleados que apagaran los equipos y la conexión a Internet como medida preventiva.
Por otra parte, el Ministerio de Industria, del que depende el Instituto Nacional de Ciberseguridad de España (Incibe), ha reconocido en un comunicado que «el ataque ha afectado puntualmente a equipos informáticos de trabajadores de varias compañías», pero «no afecta ni a la prestación de servicios, ni a la operativa de redes, ni al usuario de dichos servicios».
Fuentes de Telefónica han confirmado el ataque, pero han rebajado la importancia del suceso. Según aseguran a este diario, ha afectado a unos cien ordenadores de un total de 40.000 y no afecta al servicio que presta la compañía.
Aseguran que se trata de un «virus informático» que pone la pantalla azul con unas letras blancas. En algunos casos, no en todos, pedían un rescate con dinero bitcoin.
