El ciberataque al sistema VNDIRECT del 24 de marzo se identificó como un ataque de malware de cifrado de datos (ransomware). Este tipo de ataque es una gran preocupación para empresas y organizaciones en la era digital. Para ayudar a los lectores a aprender más sobre los ataques de ransomware, su nivel de peligro y cómo prevenirlos y responder, VietNamNet ha publicado una serie de artículos: "El peligro existencial de los ataques de cifrado de datos".

Extendiendo la "pesadilla" del malware de cifrado de datos

El ciberataque al sistema VNDIRECT, una empresa entre las tres principales del mercado bursátil vietnamita, ocurrido la mañana del 24 de marzo, se ha resuelto prácticamente. Los datos han sido decodificados y el sistema de consulta de Mi Cuenta ha vuelto a funcionar.

VNDIRECT informó que el incidente del 24 de marzo fue perpetrado por un grupo de ataque profesional, lo que provocó el cifrado de todos los datos de la empresa. Los ataques de malware de cifrado de datos (ransomware) han sido una pesadilla para empresas y organizaciones de todo el mundo en los últimos años debido a sus graves consecuencias. Los expertos también comparan el ransomware con una "pesadilla" y un "fantasma" en el ciberespacio.

Los expertos afirman que se necesita más tiempo para solucionar por completo el ataque al sistema VNDIRECT. Foto: DL

Según la hoja de ruta que VNDIRECT anunció a sus clientes y socios, la unidad operativa continuará reabriendo gradualmente sistemas, productos y otros servicios. Esta unidad planea verificar el flujo de operaciones con las bolsas de valores el 28 de marzo.

Sin embargo, el análisis de los expertos en seguridad informática muestra que el equipo tecnológico de VNDIRECT y sus expertos aún tienen mucho trabajo por delante para detectar vulnerabilidades y solucionar el problema a fondo. El ransomware no es una forma nueva de ciberataque, pero es muy complejo y requiere mucho tiempo para limpiar los datos, restaurar completamente el sistema y restablecer su funcionamiento normal.

Para solucionar por completo un ataque de ransomware, a veces la unidad operativa debe modificar la arquitectura del sistema, especialmente el sistema de respaldo. Por lo tanto, con el incidente que enfrenta VNDIRECT, creemos que la recuperación completa del sistema tardará más tiempo, incluso meses, según el director técnico de NCS, Vu Ngoc Son.

El Sr. Nguyen Minh Hai, Director Técnico de Fortinet Vietnam, dijo que dependiendo de la gravedad del ataque, la capacidad de preparación previa y la efectividad del plan de respuesta, el tiempo requerido para recuperar el sistema después de un ataque de ransomware puede variar en gran medida, desde unas pocas horas hasta varias semanas para una recuperación completa, especialmente en los casos en que se necesita recuperar una gran cantidad de datos.

“Parte de este proceso de recuperación incluye garantizar que el malware de cifrado de datos se haya eliminado por completo de la red y que no hayan quedado puertas traseras que puedan permitir a los atacantes recuperar el acceso”, dijo Nguyen Minh Hai.

Los expertos también comentaron que, además de ser una "llamada de atención" para las unidades que gestionan y operan sistemas de información importantes en Vietnam, el ciberataque a VNDIRECT también mostró una vez más el nivel de peligrosidad del ransomware.

Hace más de 6 años, WannaCry y sus variantes de malware de cifrado de datos hicieron que muchas empresas y organizaciones "tuvieran dificultades" cuando se propagaron rápidamente a más de 300.000 computadoras en casi 100 países y territorios de todo el mundo , incluido Vietnam.

En los últimos años, las empresas siempre han estado preocupadas por los ataques de ransomware. El año pasado, el ciberespacio de Vietnam registró numerosos ataques de ransomware con graves consecuencias; en ellos, hubo casos en los que los hackers no solo cifraron datos para exigir un rescate, sino que también los vendieron a terceros para maximizar la recaudación. Según las estadísticas del NCS, en 2023, se registraron hasta 83.000 ordenadores y servidores en Vietnam atacados por ransomware.

'Caminos' comunes para penetrar el sistema

El equipo tecnológico de VNDIRECT colabora con expertos en seguridad informática para implementar soluciones que permitan restaurar completamente el sistema, garantizando al mismo tiempo su seguridad. La causa del incidente y la ruta que utilizó el hacker para acceder al sistema aún se investigan.

Según el Sr. Ngo Tuan Anh, director ejecutivo de SCS Smart Network Security Company, para atacar el cifrado de datos, los hackers suelen infiltrarse en el servidor que contiene datos importantes y cifrarlos. Existen dos maneras que los hackers suelen utilizar para penetrar en el sistema de las unidades: directamente a través de las vulnerabilidades y debilidades del servidor; o bien, eludiendo el ordenador del administrador y desde allí tomando el control del sistema.

La adivinación de contraseñas y la explotación de vulnerabilidades de día cero son dos métodos que los hackers suelen utilizar para penetrar en el sistema y, desde allí, cifrar datos para extorsionarlos. Foto de la ilustración: zephyr_p/Fotolia

En declaraciones a VietNamNet , el Sr. Vu The Hai, jefe del Departamento de Monitoreo de Seguridad de la Información de la empresa VSEC, también señaló algunas posibilidades para que los piratas informáticos se infiltren e instalen malware en el sistema: explotar las vulnerabilidades existentes en el sistema para tomar el control e instalar malware; enviar correos electrónicos con archivos adjuntos que contienen malware para engañar a los usuarios en el sistema abierto, activando malware; iniciar sesión en el sistema desde contraseñas filtradas o contraseñas débiles de los usuarios del sistema.

El experto Vu Ngoc Son analizó que con los ataques de ransomware, los piratas informáticos a menudo ingresan al sistema a través de varias formas, como sondear contraseñas o explotar vulnerabilidades del sistema, principalmente vulnerabilidades de día cero (vulnerabilidades que el fabricante aún no ha parcheado - PV).

Las empresas financieras suelen tener que cumplir con las normas regulatorias, por lo que la posibilidad de descubrir contraseñas es casi imposible. La posibilidad más probable es un ataque a través de una vulnerabilidad de día cero. En consecuencia, los hackers envían remotamente segmentos de datos que causan errores y hacen que el software entre en un estado descontrolado al procesarse.

A continuación, el hacker ejecuta código remoto y toma el control del servidor de servicios. Desde este servidor, continúa recopilando información, utiliza las cuentas administrativas obtenidas para atacar otros servidores de la red y, finalmente, ejecuta herramientas de cifrado de datos para extorsionar, según analizó el experto Vu Ngoc Son.

Una nueva encuesta realizada por la firma de seguridad Fortinet a empresas de la región Asia -Pacífico , incluyendo Vietnam, muestra que el ransomware sigue siendo una preocupación importante. La extorsión mediante ataques de ransomware es la principal preocupación de ciberseguridad para los fabricantes, ya que el 36 % de las organizaciones encuestadas reportaron haber sufrido un ataque de ransomware el año pasado, un 23 % más que en una encuesta similar de Fortinet de 2020.

Lección 2: Los expertos muestran cómo responder a los ataques de ransomware

El 15 de abril vence el plazo para que las compañías de valores completen la revisión y evaluación de la seguridad de la información e implementen medidas para superar los riesgos y las debilidades de los sistemas, incluido el sistema que sirve para las transacciones de valores en línea.