Un virus está secuestrando las computadoras y servidores de Estados Unidos, abiertamente pide rescate por la información y ya encendió las alertas del gobierno.
CryptoWall es un nuevo programa malicioso que ha infectado sistemas, incluyendo agencias del gobierno estadunidense, a tal grado que entre los encargados de sistemas circula un documento (For Official Use Only, FOUO, elaborado por el Statewide Information & Analysis Center de UTAH y la Cyber Intelligence Network, CIN) en el que se explica el alcance y riesgos que se corren en caso de ser víctima de este ransomware.
Los expertos cibernéticos del gobierno estadunidense aclaran que CryptoWall no debe confundirse con CryptoLocker, otra de las amenazas que ha hecho ruido en los últimos meses.
Este nuevo código maligno avanza aceleradamente y eso tiene preocupados a los encargados de combatir las amenazas de los hackers que operan al margen de las órdenes de Washington.
CryptoWall fue descubierto a finales de abril de 2014 afectando principalmente sistemas Windows. Una vez que se ejecuta, o entra en acción, encripta inmediatamente los archivos del usuario en el disco duro local y cualquier red o dispositivo de almacenamiento ligado a la máquina.
Cuando toma el control de la información, CryptoWall despliega un mensaje en la pantalla de la víctima que exige 500 dólares, que se deben pagar en bitcoins, a cambio de una llave para quitarle el candado a los archivos. Al mismo tiempo, un contador en la pantalla comienza a correr en reversa, dando 100 horas de plazo para el pago, antes de que el monto de la extorsión aumente al doble.
Muchos de los archivos que infectan las máquinas llegan como correos legítimos de compañías que piden descargar un archivo o abrir un documento, algunos son identificados como mensajes de UPS o del “Payroll Department”.
Los hackers del gobierno de Estados Unidos han sufrido golpes fuertes, por ejemplo, en mayo el departamento de bomberos de Northern California fue atacado. Una computadora por lo menos y un servidor fueron intervenidos por CryptoWall e información vital fue destruida.
Luego, en junio, varias agencias de seguridad de Southern California fueron infectadas, cientos de computadoras fueron el objetivo de los atacantes y al menos 10 servidores fueron secuestrados.
El gobierno de Estados Unidos dice que perdieron información, pero fueron capaces de rescatar sus sistemas con un backup. En mayo también se detectaron ataques en agencias municipales en Virginia.
“Hasta ahora, la mayoría de las víctimas se localizan en Estados Unidos, aunque numerosas víctimas han sido afectadas entre múltiples sectores”, indica el documento FOUO. “En por lo menos un incidente, CryptoWall se enmascara como un programa que pide al usuario desplegar el archivo antes de ser capaz de leerlo. Una vez que el usuario trata de abrir el archivo, CryptoWall se replica a sí mismo a través de múltiples lugares de la máquina y demanda el pago. CryptoWall también puede ser escondido como actualizaciones de software legítimo como (aunque no se limita a ellos) Adobe Reader, Flash Player, y Java Runtime Environment”.
Debido al nivel de complejidad de la encriptación (RSA-2048 bit keys en cada infección) es necesaria la llave que ofrecen los hackers para recuperar los archivos afectados.
Un gran número de víctimas han tenido que borrar todo y recuperar lo que pueden con backups. El daño parece estar dirigido a organizaciones en específico, más que a dañar a individuos en particular.
Las autoridades estadunidenses advierten a sus empleados encargados de la seguridad cibernética que es muy probable que esto continúe y que se vea más ransomware, similar a CryptoWar, en un futuro cercano, debido al éxito de esta campaña y a la disponibilidad de este tipo de armas que se venden abiertamente en los foros underground.
Si crees que tu computadora fue infectada, dice el documento, desconecta inmediatamente la máquina de la red, quítale la batería o carga. Eso evitará que el virus avance.
Lo que no sabe el gobierno es quién inventó CryptoWall, si hay otra forma de recuperar la información sin pagar rescate, cuántas organizaciones han sido afectadas por CryptoWall y si está a la venta actualmente en algún underground cybercrime forum.
Muchos de los archivos que infectan las máquinas llegan como correos legítimos de compañías que piden descargar un archivo o abrir un documento, algunos son identificados como mensajes de UPS o del “Payroll Department”