Los ataques masivos de ransomware se han intensificado en los últimos días. Esta misma semana se habla de que un ransomware conocido como Jaff esta siendo distribuido a través de email por una botnet en varios países. Y aunque no guarda relación, Telefónica en España, la compañía de telefonía móvil, esta siendo objeto de un ciberataque masivo en el que han utilizado algún ransomware.
Telefónica ha corroborado la historia y aseguran además que el ataque a logrado afectar únicamente la Intranet de la compañía. Si bien no esclarecen sobre el número de ordenadores afectados, empleados de la empresa hablan de más de un centenar de equipos.
Un email enviado a los empleados de la compañía deja algunas pistas sobre las medidas que están tomando para enfrentar el ataque de ransomware.
Un ransomware, hay que recordar, es un tipo de malware que logra secuestrar nuestros archivos principales, encriptandolos y pidiendo un rescate por la clave para desencriptarlos, casi siempre en Bitcoins.
Según hemos podido corroborar de manera independiente, el Ransomware que está encriptando los ordenadores de Telefónica es una nueva versión de WCry (conocido también como WanaCrypt0r o Wanna cry), un malware detectado inicialmente en Febrero de este año. Según MalwareHunter, la versión de WCry que está afectando a Telefónica podría ser la 2.0 que comenzó a esparcirse en las primeras horas de este Viernes.
En el caso de Telefónica, el rescate por sus archivos encriptados es una cifra de US$ 300 en Bitcoins por ordenador. Empleados aseguran que el mensaje de ransomware en pantalla les da hasta 15 de mayo para hacer efectivo el pago. En caso de no pagarse en dicho momento, se subirá la cifra y, llegado el día 19, borrarían los archivos a los que encriptados.
Cabe señalar que el hecho de que los ordenadores de la intranet de Telefónica estén afectados, esto no tiene porqué afectar el servicio de los usuarios. De momento, ninguna incidencia se ha reportado por parte de los clientes.
Ataque a otras empresas
En un principio algunos informaron que otras compañías en España como Vodafone, Santander, KPMG y BBVA habían sufrido un ataque similar. Sin embargo, aunque en un principio la mayoría de estas compañías ha negado el ataque, Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI) ha confirmado en una nota que se trata de un virus que afecta a un “elevado número de organizaciones”.
De momento, se desconoce la identidad de los atacantes pero la sospechas preliminares es de que se trata de un grupo de hackers con base en China.