El ciberataque al sistema VNDIRECT el 24 de marzo se identificó como un ataque de malware de cifrado de datos: ransomware. Este tipo de ataque representa una gran preocupación para las empresas y organizaciones en la era digital. Para ayudar a los lectores a comprender mejor los ataques de ransomware, su nivel de peligro y cómo prevenirlos y responder ante ellos, VietNamNet ha publicado una serie de artículos titulada «El peligro existencial de los ataques de cifrado de datos».

Prolongando la "pesadilla" del malware de cifrado de datos

El ciberataque al sistema de VNDIRECT, una de las tres principales empresas del mercado bursátil vietnamita, ocurrido la mañana del 24 de marzo, ya se ha resuelto en su mayor parte. Los datos se han descifrado y el sistema de consulta de cuenta está nuevamente operativo.

VNDIRECT informó que el incidente del 24 de marzo fue perpetrado por un grupo de atacantes profesionales, lo que provocó el cifrado de todos los datos de la empresa. Los ataques de ransomware han sido una pesadilla para empresas y organizaciones de todo el mundo durante años, debido a las graves consecuencias que pueden ocasionar. Los expertos también comparan el ransomware con una «pesadilla» y un «fantasma» en el ciberespacio.

Los expertos afirman que se necesita más tiempo para solucionar por completo el ataque al sistema VNDIRECT. Foto: DL

Según la hoja de ruta que VNDIRECT anunció a clientes y socios, la unidad operativa continuará reabriendo gradualmente sistemas, productos y otros servicios. Esta unidad tiene previsto realizar una consulta con las bolsas de valores el 28 de marzo.

Sin embargo, según el análisis de expertos en seguridad informática, el equipo de VNDIRECT aún tiene un largo camino por recorrer para detectar vulnerabilidades y solucionar el problema a fondo. El ransomware no es una forma nueva de ciberataque, pero es muy complejo y requiere mucho tiempo para limpiar los datos, restaurar completamente el sistema y restablecer las operaciones normales.

“Para solucionar por completo un ataque de ransomware, a veces la unidad operativa tiene que cambiar la arquitectura del sistema, especialmente el sistema de copias de seguridad. Por lo tanto, con el incidente que está sufriendo VNDIRECT, creemos que la recuperación total del sistema llevará más tiempo, incluso meses”, declaró Vu Ngoc Son, director técnico de NCS.

El Sr. Nguyen Minh Hai, Director Técnico de Fortinet Vietnam, afirmó que, dependiendo de la gravedad del ataque, la capacidad de preparación previa y la eficacia del plan de respuesta, el tiempo necesario para recuperar el sistema tras un ataque de ransomware puede variar enormemente, desde unas pocas horas hasta varias semanas para una recuperación completa, especialmente en los casos en que se necesite recuperar una gran cantidad de datos.

“Parte de este proceso de recuperación incluye garantizar que el malware de cifrado de datos se haya eliminado por completo de la red y que no queden puertas traseras que puedan permitir a los atacantes recuperar el acceso”, dijo Nguyen Minh Hai.

Los expertos también comentaron que, además de ser una "llamada de atención" para las unidades que gestionan y operan sistemas de información importantes en Vietnam, el ciberataque a VNDIRECT también demostró una vez más el nivel de peligro del ransomware.

Hace más de 6 años, WannaCry y sus variantes de malware de cifrado de datos causaron "problemas" a muchas empresas y organizaciones, cuando se propagaron rápidamente a más de 300.000 ordenadores en casi 100 países y territorios de todo el mundo , incluido Vietnam.

En los últimos años, las empresas se han preocupado constantemente por los ataques de ransomware. El año pasado, el ciberespacio de Vietnam registró numerosos ataques de este tipo con graves consecuencias; en algunos casos, los hackers no solo cifraron los datos para exigir un rescate, sino que también los vendieron a terceros para maximizar sus ganancias. Según las estadísticas del NCS, en 2023 se registraron hasta 83 000 ataques de ransomware contra ordenadores y servidores en Vietnam.

Vías comunes para la penetración del sistema

El equipo tecnológico de VNDIRECT está colaborando con expertos en seguridad informática para implementar soluciones que permitan restaurar completamente el sistema y garantizar su seguridad. La causa del incidente y la ruta de acceso que los hackers utilizaron para penetrar el sistema aún se encuentran bajo investigación.

Según Ngo Tuan Anh, director ejecutivo de SCS Smart Network Security Company, para atacar el cifrado de datos, los hackers suelen infiltrarse en el servidor que contiene información importante y cifrarla. Existen dos métodos comunes que utilizan para penetrar en el sistema: aprovechar directamente las vulnerabilidades del servidor o acceder al sistema a través del ordenador del administrador y tomar el control desde allí.

El descifrado de contraseñas y la explotación de vulnerabilidades de día cero son dos métodos que los hackers suelen utilizar para infiltrarse en sistemas, desde donde cifran datos para extorsionar. Foto ilustrativa: zephyr_p/Fotolia

En declaraciones a VietNamNet , el Sr. Vu The Hai, Jefe del Departamento de Monitoreo de Seguridad de la Información de la empresa VSEC, también señaló algunas posibilidades para que los hackers se infiltren e instalen malware en el sistema: explotar las vulnerabilidades existentes en el sistema para tomar el control e instalar malware; enviar correos electrónicos con archivos adjuntos que contengan malware para engañar a los usuarios en el sistema abierto y activar el malware; iniciar sesión en el sistema utilizando contraseñas filtradas o contraseñas débiles de los usuarios del sistema.

El experto Vu Ngoc Son analizó que, en los ataques de ransomware, los hackers suelen entrar al sistema a través de varias vías, como el sondeo de contraseñas y la explotación de vulnerabilidades del sistema, principalmente vulnerabilidades de día cero (vulnerabilidades que el fabricante aún no ha corregido - PV).

Las empresas financieras suelen tener que cumplir con normativas, por lo que la posibilidad de que se descubran las contraseñas es prácticamente nula. La posibilidad más probable es un ataque a través de una vulnerabilidad de día cero. En este caso, los hackers envían de forma remota segmentos de datos que provocan errores y hacen que el software entre en un estado descontrolado durante el procesamiento.

A continuación, el hacker ejecuta código de forma remota y toma el control del servidor de servicios. Desde este servidor, continúa recopilando información, utiliza las cuentas administrativas obtenidas para atacar otros servidores de la red y, finalmente, ejecuta herramientas de cifrado de datos para la extorsión”, analizó el experto Vu Ngoc Son.

Una nueva encuesta realizada por la empresa de seguridad Fortinet entre empresas de la región Asia -Pacífico , incluyendo Vietnam, revela que el ransomware sigue siendo una gran preocupación. La extorsión mediante ataques de ransomware es la principal preocupación de ciberseguridad para los fabricantes: el 36 % de las organizaciones encuestadas reportaron haber sufrido un ataque de ransomware el año pasado, un 23 % más que en una encuesta similar realizada por Fortinet en 2020.

Lección 2 - Expertos muestran cómo responder a los ataques de ransomware

El 15 de abril es la fecha límite para que las empresas de valores completen la revisión y evaluación de la seguridad de la información e implementen medidas para superar los riesgos y las debilidades de los sistemas, incluidos los sistemas que prestan servicios a las transacciones de valores en línea.