“No les pagues nunca”: la Guardia Civil alerta ante los ciberdelincuentes que bloquean ordenadores

“No les pagues nunca”. Es el consejo que transmites los especialistas de la Guardia Civil, a través de su página web, para los casos en que un ordenador sea atacado por los ciberdelincuentes mediante el uso de un ransomware del tipo NetWalker, el más utilizado en estos momentos.

La Benemérita recoge, a su vez, un informe del Incibe-Cert sobre este ciberdelito, que consiste en bloquear un ordenador y exigir un rescate para facilitar unas claves que lo hagan operativo de nuevo.

La situación actual es de las que se pueden denominar “tormenta perfecta” ya que, según expertos consultados por LA RAZÓN, los creadores del virus hicieron públicas las claves para que otros lo pudieran utilizar de la forma que quisieran. Atacando a hospitales, como ha ocurrido recientemente en España y, poco antes, en Estados Unidos e Inglaterra. Este tipo de ataques a centros de salud en plena pandemia, había sido descartado por dichos creadores, pero el instrumento estaba ya a disposición de terceros.

“Una vez que se ha identificado el usuario, se indica que el precio inicial del rescate comienza en 1.000 dólares, pero que se duplicará esa cantidad de no realizarse el pago antes de una semana. La dirección que se proporciona para el pago es única para cada infección”, indica el informe del Incibe-Cert.

Al analizar el modus operandi de NetWalker, se insiste en que la primera recomendación es “no pagar nunca el rescate solicitado por los ciberdelincuentes, ya que esto no garantiza que respondan una vez se realice el pago, para devolver la normalidad al equipo infectado mediante la entrega de la clave de descifrado”.

Desafortunadamente--agrega--, en este momento no se conoce ninguna solución de descifrado de este ransomware, por lo que deben considerarse las siguientes medidas de carácter general:

• Aislar el equipo de la red para evitar que el ciberataque se propague a otros dispositivos, teniendo en cuenta discos duros, unidades de red o servicios en la nube que estuvieran conectados.
• Clonar de manera completa el disco duro para conservar el dispositivo original y, de esta manera, intentar recuperar los datos sobre el disco clonado. Si no existe solución actualmente, como es en el caso de NetWalker, es posible que se desarrolle en el futuro, por lo que se podrían recuperar los ficheros cifrados.
• Desinfectar el disco clonado para intentar recuperar los datos posteriormente, utilizando una herramienta adecuada.
• Por último, una vez confirmado que el malware ha sido eliminado del ordenador, se recomienda cambiar todas las contraseñas que se hayan usado en el equipo afectado.

Dentro de las medidas de prevención a adoptar, se citan las siguientes:

• No descargar archivos sospechosos o de un remitente desconocido o no habitual.
• Realizar backups periódicamente para que se puedan restablecer los sistemas rápidamente, con la menor pérdida de información y el menor impacto en la operativa posibles.
• Mejorar la segmentación de la red para evitar una propagación masiva de la amenaza.
• Revisar y reforzar, en caso de que sea necesario, las políticas de seguridad de la organización.

NetWalker, concluye dicho informe, es un ransomware relativamente reciente (septiembre 2019) que ha evolucionado en los últimos meses, aunque hasta el momento no hay evidencias de víctimas afectadas o que sufrieran las consecuencias. También denominado “Mailto” o “Koko”, se ha utilizado en una reciente campaña de malware distribuida bajo correos electrónicos que simulan aportar información sobre el estado de la actual situación de alerta sanitaria generada por el COVID-19.