Un software malicioso que infecta el disco duro amenazó a más de 2.000 sistemas en la agencia de transporte público de San Francisco el pasado viernes. Su autor exigió 100 bitcoins para desbloquear los datos, informó The Register.
Las máquinas de boleto se cerraron y los pasajeros pudieron viajar gratis el sábado por la mañana en el sistema de tren ligero Muni, un día de compras para la ciudad después del Día de Acción de Gracias, mientras los trabajadores del área tecnológica se esforzaban por limpiar el desorden.
Una variante del malware de HDDCryptor infectó a 2.112 computadoras dentro de la Agencia de Transporte Municipal de San Francisco. Estos sistemas incluyen computadoras de oficina, estaciones de trabajo CAD, servidores de correo electrónico y de impresión, computadoras portátiles de empleados, sistemas de nómina, bases de datos SQL, terminales de objetos perdidos y encontrados y PCs de kioscos de estaciones. El malware atacó automáticamente la red de la agencia y podía alcanzar el regulador de dominio de la organización y comprometer sistemas de Windows network-attached. Hay aproximadamente 8.500 PCs, Macs y otras en la red de la agencia.
Después de que los equipos vulnerables fueron infectados y su almacenamiento codificado, fueron reiniciados por el malware y, en lugar de iniciar su sistema operativo, en lugar de ello mostraron el mensaje: “Ha sido hackeado, TODOS los datos cifrados, contacto por clave (cryptom27@yandex.com) ID: 601″.
HDDCryptor cifra los discos duros locales y los archivos compartidos en red utilizando claves generadas aleatoriamente y luego sobrescribe los MBR (Master Boot Record) de los discos duros, siempre que sea posible, para evitar que los sistemas se inicien correctamente. Una máquina suele infectarse por un empleado que accidentalmente abre una “trampa cazabobos” ejecutable en un correo electrónico y la descarga, y luego la infección se extiende a través de la red.
Cuando se pague el rescate de 100 bitcoins – ahora mismo cerca de 73.000 dólares -, los hackers supuestamente entregarán una clave de descifrado maestro para restaurar las unidades cifradas y los archivos. Una cartera de Bitcoin en la que se espera que la agencia de tránsito pague permanece en estos momentos vacía.
Silencio
Los extorsionistas detrás del malware se han quejado de que nadie en la agencia hasta ahora ha hablado con ellos y mucho menos les ha ofrecido pagarles. Dijeron que darían a los oficiales de Muni un día más para ponerse en contacto antes de marcharse. También ofrecieron descifrar una máquina por un bitcoin (730 dólares) para demostrar que la restauración es posible.
“Nuestro software está funcionando completamente de forma automática y no lanzamos ataques dirigidos … La red de SFMTA estaba muy abierta y 2.000 servidores / PCs están infectados por software”, afirmaron los autores intelectuales del ransomware en un comunicado el domingo a través de correo electrónico. “Así que estamos esperando el contacto de cualquier persona responsable en la SFMTA, pero creo que no quieren un acuerdo, así que cerraremos este correo electrónico mañana”.
Hoy lunes los autobuses y el metro subterráneo Muni sistema ferroviario siguen funcionando. Los torniquetes del Muni fueron dejados abiertos desde la noche del viernes permitiendo a la gente viajar gratis. Los sistemas de ticketing se detuvieron con mensajes “fuera de servicio” tras la infección.
“No hay ningún impacto en el servicio de tránsito, pero hemos dejado gratuitas las tarifas como precaución para minimizar el impacto de los clientes”, dijo el portavoz de la agencia de transporte, Paul Rose, el sábado. “Debido a que se trata de una investigación en curso, no sería apropiado proporcionar detalles adicionales en este momento”.
El sistema de transporte público de San Francisco se une a los hospitales, negocios, comisarías y otras organizaciones golpeadas por softwares malignos. Algunos entregan dinero a los extorsionistas que difunden el software de cifrado de archivos, pero algunos no.
Fuente: The Register
Traducido para Diario Bitcoin
?
ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.