Babuk Locker, el primer ransomware de 2021 se ha cobrado recientemente otra víctima corporativa: The Phone House España.

El pasado 11 de abril, la división de The Phone House España se encontró con un desagradable escenario para su seguridad informática: habían sucumbido al ciber ataque del equipo de hackers Babuk que, empleando su ransomware Baby Locker, habían conseguido acceder a sus Bases de Datos, comprometiéndose los datos de hasta 13 millones de sus clientes y empleados en España.

¿En qué ha consistido el ciberataque a The Phone House?

“Tenemos 10 bases de datos que contienen información privada (nombre completo, fecha de nacimiento, correo electrónico, teléfono, dirección, nacionalidad…) de más de 3 millones de clientes y empleados. Si no pagáis, toda esta información se publicará en nuestro blog público y foros de ‘darknet’ y se enviará a todos vuestros socios y competidores”.

The Phone House España ha sido objeto de un ciber ataque mediante ransomware. El ransomware se clasifica como un tipo de malware que, tras inyectarse en los sistemas y bases de datos del objetivo, bloquea el acceso a los archivos y/o al dispositivo, incluyéndose el cifrado de la información.

La postura inicial de The Phone House fue mantenerse inflexible ante el chantaje recibido por Babuk pues de lo contrario y en sus propias palabras, estarían favoreciendo y financiando este tipo de ciberataques contra otras empresas.

Bloqueada y cifrada la información, los responsables del ataque mediante ransomware exigen al usuario que pague un rescate económico por su información so pena de mantener la información bloqueada y/o cifrada indefinidamente e incluso, de filtrarla en la red.

Los ataques de ransomware generalmente son “pasivos”, infectando los sistemas informáticos empleando spam o publicidad maliciosa o a través de la distribución de archivos en redes P2P. Es decir, el grupo de hackers informáticos detrás del ransomware no actúa directamente buscando a su víctima, sino que libera su ransomware a través de estos medios con el objetivo de infectar aleatoriamente cuantos más equipos mejor.

El caso de The Phone House es distinto, pues responde a un ataque de ransomware activo en el que el equipo de hackers Babuk ha atacado de forma planificada y directa los sistemas informáticos y de seguridad de The Phone House España buscando infectarlos específicamente con el objetivo de lucrarse a gran escala con este ataque.

El ransomware de Babuk Lockers es distribuido como un servicio de ransomware a la carta. Es decir, un Ransomware as a Service: se programa el código y se planifican los ataques participando tanto los hackers como cualquier usuario de la red con malas intenciones.

Infectado el equipo, Babuk extorsiona doblemente al afectado: paga el rescate o filtramos tus datos.

Rescate a cambio de la no difusión de los datos obtenidos

El término Ransomware nace de la unión de ransom (rescate, en inglés) con ware (producto o mercancía, en inglés). En términos del INCIBE, los ataques con ransomware son secuestros y extorsiones virtuales de nuestros sistemas informáticos por los que piden un rescate.

En cuanto infectan el sistema informático de la víctima, contactan e intimidan a la víctima; avisándole de que la única alternativa de recuperar el sistema secuestrado es pagando el rescate al grupo de hackers. Esta extorsión suele acompañarse de la amenaza de destrucción o filtración de la información bloqueada y/o cifrada si dentro de un corto plazo de tiempo no reciben el pago.

A cambio de este pago, el grupo de hackers ofrecen a la víctima los mecanismos necesarios para recuperar sus sistemas informáticos del bloqueo y cifrado sometidos.

El INCIBE recomienda no pagar el rescate bajo ningún concepto. Nos recuerdan que estamos tratando con hackers informáticos, es decir, con delincuentes que no ofrecen garantías de recuperar el sistema; pues podrían ofrecer nuevo malware que causasen nuevas infecciones de nuestros sistemas informáticos.

¿Cómo podría haber prevenido The Phone House este tipo de ciberataques?

Evitar ser infectado por ransomware implica tomar una serie de medidas técnicas y procedimentales básicas en las empresas.

Los mecanismos más recomendados por los expertos en seguridad informática del INCIBE son:

1. Copias de Seguridad

Como acción regular se debe realizar copias de seguridad de los datos más importantes. Estas copias de seguridad se deben de almacenar físicamente en medios externos distintos a los equipos/servidores convencionales sobre los que opere el Sistema Informático. De esta manera los procesos de recuperación se acortan y se mitiga el efecto de pérdida de información por el ataque informático.

2. Integración de Sistemas Informáticos de Seguridad

Desde cortafuegos, antivirus, antimalwares, herramientas Anti-Ransomware e instalación de filtros antispam en los servidores de correo electrónico.

3. Mínimos Privilegios

Tanto en la utilización humana de los sistemas informáticos, como internamente, empleando medidas como bloqueadores de JavaScript o la instalación de aplicaciones como CryptoLocker que impiden el acceso y ejecución de aplicaciones en directorios especialmente sensibles del sistema como Systema32 o App Data.

4. Auditorias

Como elemento de cierre, el INCIBE recomienda realizar periódicamente auditorías de seguridad informática orientadas a comprobar el estado de los procesos de seguridad técnicos y humanos, así como la capacidad de reacción y defensa ante este tipo de ataques.

Las auditorías más comunes que se suelen realizar en estos ámbitos son:

  • Test de Penetración – Orientada a buscar fallos y huecos de seguridad a través de los que sería posible conseguir acceso no autorizado a los sistemas.
  • Auditoría de Red – Para analizar la intranet y la extranet de los sistemas informáticos en busca de vulnerabilidades.
  • Auditorías de Seguridad Perimetral – Procesos destinados a comprobar y determinar el nivel de seguridad informática de la red de comunicaciones del sistema informático, evaluando las amenazas y riesgos internos y externos.
  • Auditorias Web – Buscando analizar y encontrar vulnerabilidades que afectan al funcionamiento de los sitios web
  • Auditorias Forenses – Auditorías ad hoc especializadas realizadas con posterioridad a un incidente de seguridad, dirigidas a identificar las causas y consecuencias.

En Letslaw somos expertos en Ciberseguridad y Protección de Datos, pudiéndote ofrecer asesoramiento integral ante ciber ataques.