Selecciona Edició
Entra a EL PAÍS

L’atac de ‘ransomware’ s’estén a escala global

Espanya, Portugal, el Regne Unit i Rússia, entre els afectats. Aquests virus informàtics xifren la informació dels ordinadors a canvi d'un rescat

Ciberataque hoy
L'equip d'investigadors independents de ciberseguretat Malware Tech ha creat un mapa amb els llocs en els quals s'ha detectat el 'ransomware'.

El virus informàtic (conegut com malware) que ha atacat el matí d'aquest divendres els equips de la seu de Telefónica a Madrid ha arribat ja a diverses desenes de països. El programari del tipus ransomware, que fa el segrest exprés de dades i demana un rescat per alliberar el sistema, ha infectat diferents empreses i institucions a Espanya, Taiwan, Rússia, Portugal, Ucraïna, Turquia i el Regne Unit —en aquest últim, el virus ha col·lapsat el Servei Nacional de Salut—, segons informen les companyies de ciberseguretat s21sec i Check-point. En una piulada, Costin Raiu, el director global de l'equip d'investigació i anàlisi de Kaspersky Lab, una empresa de seguretat informàtica, afirma que s'han registrat més de 45.000 atacs en 74 països. Fins al moment, l'atac no ha afectat infraestructures crítiques.

Aquest tipus de virus, que en ser executats aparenten ser inofensius i imiten altres aplicacions, és el més habitual i representa el 72,75% del malware, segons els últims informes de les companyies Kaspersky Lab i PandaLab . Les anàlisis de l'Institut Nacional de Ciberseguretat (Incibe) demostren que el programari maliciós que ha provocat el ciberatac a escala global és un WanaCrypt0r, una variant de WCry/WannaCry. Després d'instal·lar-se a l'equip, aquest virus bloqueja l'accés als fitxers de l'ordinador afectat i demana un rescat, i pot infectar la resta d'ordinadors vulnerables de la xarxa. WanaCrypt0r xifra arxius del disc dur amb extensions com .doc .dot .tiff .java .psd .docx .xls .pps .txt o .mpeg, entre d'altres, i augmenta la quantia del rescat a mesura que passa el temps. "El xifrat dels arxius prossegueix després de l'aparició de la nota d'extorsió, al contrari que en altres atacs, que no mostren la nota fins que el xifrat s'ha completat", explica Agustín Múñoz-Grandes, CEO de s21Sec. “Aquest tipus d'atacs afecta tothom, però hem vist com els delinqüents intenten atacar les empreses, ja que posseeixen informació valuosa per la qual estan disposats a pagar un rescat”, indica l'estudi de Panda. Alguns experts en ciberseguretat, com Jakub Kroustek, afirmen a les xarxes socials que han rastrejat fins a 50.000 atacs de WannaCry. Aquest mateix expert assegura en el blog de la seva companyia, Avast, que van observar la primera versió d'aquest virus al febrer i que han trobat el missatge de rescat escrit en 28 idiomes. Segons Eusebio Nieva, director tècnic de Check-Point a Espanya i Portugal, el ransomware és l'estratègia més utilitzada per atacar les grans empreses. "Els hackers demanen que el rescat es faci a través d'un pagament digital que no es pugui rastrejar", diu Nieva. L'expert explica que aquest programari maligne pot arribar a un sistema de manera simple, des d'un correu electrònic amb una factura falsa, per exemple, fins a una tècnica coneguda com watering hole, que en el cas de les grans companyies, infecta una pàgina (generalment de la xarxa intranet) a la qual els treballadors o usuaris accedeixen amb freqüència. "Aquesta és la forma més ràpida per a una distribució massiva", afirma.

Quan el virus infecta l'ordinador, aquesta imatge apareix al fons d'escriptori.
Quan el virus infecta l'ordinador, aquesta imatge apareix al fons d'escriptori.

L'expert assenyala, no obstant això, que el pagament d'un rescat no és garantia que es pugui recuperar la informació xifrada pel virus: "La possibilitat és d'entre 30% i 40%". Però, com és possible protegir-se d'aquests atacs? L'expert sosté que, en l'era en què els malware han deixat de ser obra d'atacants individuals per convertir-se en una xarxa industrialitzada que genera diners, els tradicionals programes d'antivirus ja no són suficients. Els més capdavanters de protecció, segons Nieva, són els programes d'anti-APP o sandboxing, que rastregen el comportament del sistema o de la xarxa d'informació, identifiquen qualsevol programari maliciós i l'eliminen.

"El sandboxing és el que funciona més bé. Quan arriba un document per correu, per exemple, el sistema l'obre en un entorn virtual i si detecta alguna cosa sospitosa, l'elimina abans que arribi a l'usuari", explica l'expert. El problema, segons l'expert, és que es tracta d'un model recent i moltes empreses els utilitzen simplement com un sistema de detecció en comptes de protecció.

El Govern d'Espanya ha emès un comunicat en el qual orienta els possibles afectats a aplicar els últims pegats de seguretat publicats en els butlletins de maig.

Com actua aquest ransomware

Després de xifrar els fitxers del disc dur, WanaCrypt0r canvia el nom de les extensions dels arxius afectats per .WNCRY. Després, el virus fa saltar a la pantalla el missatge següent: "Ooops, els teus arxius importants estan encriptats" i sol·licita el rescat de 300 dòlars (274 euros, aproximandament) en bitcoins (un tipus de moneda digital) per alliberar-los. El missatge inclou instruccions sobre com fer el pagament i un cronòmetre.

"Aquest atac demostra una vegada més que el ransomware és una poderosa arma que pot utilitzar-se contra els consumidors i les empreses per igual. El virus es torna particularment desagradable quan infecta institucions com hospitals, on pot posar la vida de les persones en perill", afirma Avast en un comunicat.