¿Qué tienen en común el equipo de fútbol americano San Francisco 49ers y el Instituto Nacional de Vigilancia de Medicamentos y Alimentos (Invima) de Colombia? Sus servidores fueron atacados durante febrero por la misma banda de ciberdelincuentes: BlackByte.
Al menos, esa es la conclusión preliminar a la que llegó el Centro Cibernético de la Policía Nacional tras asumir la investigación por el ciberataque del servidor del Invima, que tuvo lugar desde el 6 de febrero y frenó en seco las actividades de registros, certificaciones y auditorías que la entidad ya había automatizado.
Según lo informado por la emisora Blu Radio, la Policía está analizando evidencia digital del siniestro. Trazas del malware que causó el problema fue enviado a la Agencia de la Unión Europea para la Cooperación Policial (Europol), que está cooperando en la investigación.
Por otro lado, el director del Invima, Julio César Aldana, ha confirmado en entrevistas con diversos medios que el ataque tuvo fines extorsivos y que el malware está asociado con BlackByte.
¿Qué (o quién) es BlackByte?
Según un reporte del Centro de Quejas de Delitos en Internet de Estados Unidos —entidad conocida en ese país como IC3—, BlackByte es un software de ransomware como servicio (RaaS), es decir, una aplicación que encripta archivos en servidores de Windows vulnerables, sin importar si son físicos o están en la nube.
El programa secuestra de forma permanente los archivos de un servidor, a menos que se pague un rescate (ransom): en pocas palabras, el dueño del servidor tendría que pagarle al delincuente para volver a acceder a sus datos con normalidad.
Según el IC3, BlackByte ha vulnerado los servidores de entidades estatales y empresas en Estados Unidos y todo el mundo. En 2021, ese software afectó a entidades asociadas con regulación de comida, agricultura, finanzas e instalaciones estatales del país norteamericano, según informes del FBI.
Hay un detalle común que han notado los expertos en seguridad cibernética cuando hay un ataque con BlackByte: ganaron el acceso al servidor por una vulnerabilidad en el Microsoft Exchange Server, programa para correos corporativos de Windows cuya última versión estable salió en 2018.
Una vez accedían al servidor, comenzaban a explorarlo en su totalidad hasta cuando encontraban alguna forma de ganar privilegios de administrador. En ese momento encriptaban los archivos de todo el servidor.
Por hallar un modus operandi establecido y ante el impacto de varios de sus ataques, se cree que BlackByte no es solamente un software, sino que todos sus ataques están orquestados por las mismas personas.
Para que no le pase
Aunque el Invima asegura que tienen una copia de todo lo que se almacenaba en sus servidores, lo cierto es que llevan 13 días con funcionalidad limitada, haciendo trámites a mano y con una larga fila de importaciones pendientes por registrar.
El director aún no se atreve a dar una fecha tentativa para restablecer los servicios, por lo que se aproximan días de alzas aún más agresivas en los precios de ciertos productos.
Para evitar que los datos de su empresa sean secuestrados, puede tomar algunas precauciones. Por ejemplo, el IC3 recomienda hacer copias de respaldo de todos sus archivos en un disco duro que no permanezca conectado a la red corporativa. También es una buena idea segmentar las redes internas, de modo que los datos de cada computador corporativo puedan estar separados e inaccesibles de los demás.
Por otro lado, conviene invertir en antivirus con detección de amenazas en tiempo real, mantener sus equipos con todas las actualizaciones —esto implica, obviamente, comprar software legal—, revisar con frecuencia los dominios para detectar usuarios desconocidos y restringir los privilegios de administrador, de modo que nadie pueda instalar nada sin permiso.
SEGUIR LEYENDO: