1 Dic 2016

El ransomware Mamba permite acceder gratis a los ferrocarriles de San Francisco

Amenazas Noticias

El fin de semana pasado, 26 y 27 de noviembre, los viajeros que iban en el ferrocarril municipal de San Francisco se sorprendieron al no tener que pagar por sus viajes. Todos viajaron gratis esos días. ¿El sueño hecho realidad de un socialista? No. Muni, la agencia de transporte ferroviario de San Francisco, fue atacada con un ransomware y no pudo vender billetes.

Algunos medios de comunicación informan de que el problema se manifestó unos días antes, justo antes de Acción de Gracias, cuando las máquinas billetes de la estación y los paneles informativos empezaron a mostrar el mensaje “You Hacked” (en español, “has hackeado“) y, como de costumbre, el mensaje contenía errores gramaticales. Al parecer, el ransomware, llamado Mamba, el cual es una variante de HDDCryptor, dejó fuera de servicio a más de 2 000 ordenadores de la agencia de transporte municipal de San Francisco (SFMTA).

Mamba (y HDD Locker; considerémoslos uno durante todo el artículo) es un ransomware que cifra todo el disco duro y cambia el registro de arranque principal para impedir que los ordenadores infectados inicien el sistema operativo y, en su lugar, muestren el mensaje del hacker.

Los creadores de Mamba usaron utilidades de código abierto para crear el troyano y ello, entre otras cosas, les ayudó a obtener un fuerte algoritmo. Por lo que no hay manera conocida de recuperar los archivos que Mamba ha cifrado sin tener que pagar a los delincuentes.

Los creadores de Mamba instaron a la SFMTA a que contactara con ellos en cryptom27@yandex.com. Mediante dicha dirección, un periodista del San Francisco Examiner pudo hablar con los delincuentes, los cuales se presentaron como “Andy Saolis”. Como en la historia de Saolis, el ataque a Muni no fue dirigido; el sistema se infectó simplemente porque alguien con privilegios de administrador descargó un fichero torrent infectado.

Saolis también dijo a Examiner que la SFMTA tenía que pagarles 100 bitcoins (unos 69 000 euros) para devolver la funcionalidad a sus ordenadores. Pero al parecer, la SFMTA pudo resolver el problema sin tener que pagar el rescate; el domingo tarde, las máquinas de billetes volvían a funcionar.

Los investigadores antimalware de Kaspersky Lab siguen de cerca al agente responsable de este ataque. Al parecer, Mamba se suele usar para atacar a empresas y organizaciones: el ataque a Muni no ha sido el primer golpe de Mamba y, de hecho, 100 bitcoins es una suma pequeña para lo que suelen pedir estos delincuentes. Normalmente exigen mucho más.

Mamba parece ser una amenaza muy fastidiosa. ¿Qué puedes hacer para protegerte a ti y a tu organización de él?

1. La SFMTA pudo volver a restablecer Muni relativamente rápido porque tenía copias de seguridad. Hay que destacar que dichas copias no estaban en redes compartidas; de lo contrario, Mamba también las habría cifrado.

¿Qué aprendemos de esto? Que hay que hacer como la SFMTA y realizar copias de seguridad con regularidad y mantenerlas en la nube o en discos duros externos, no en el ordenador ni en dispositivos conectados a la red.

2. Sé más listo que la SFMTA y evita infectarte con Mamba o con cualquier otro ransomware. Para ello, utiliza una buena solución de seguridad. Kaspersky Internet Security detecta Mamba (y a HDDCryptor y otros como ellos) con el nombre de HEUR:Trojan.Win32.Generic e impide que cifren nada.