Ataques

Una ola de ransomware altera la movilidad de Canadá

En los últimos meses, varias empresas canadienses de transporte han sufrido ataques mediante ransomware. ¿Cuáles han sido sus consecuencias y cómo reaccionaron las compañías?

Imagen de una autovía canadiense, con varios letreros indicadores que cruzan de lado a lado el asfalto
Foto: Piqsels.

Los cibercriminales han estado muy ocupados últimamente con las extorsiones a compañías canadienses relacionadas con la movilidad. Varias de ellas han sufrido ataques mediante ransomware, por los cuales los crackers encriptan información sensible y piden un rescate. Muchas veces, no solo bloquean su uso, sino que amenazan con hacerla pública.

El caso de Montreal

Durante los últimos meses, tres sistemas de transporte de Canadá sufrieron varios episodios de ransomware.

Del más reciente de ellos tuvimos noticia nada más empezar 2021. Communauto, un servicio de coches compartidos con sede en Montreal -pero que opera en varias ciudades del país-, sufrió un ciberataque durante las Navidades.

Durante el suceso, se vio comprometida la información personal de algunos de sus clientes, incluidos números de miembros, nombres y direcciones de correo electrónico y cívicas, pero no a la información de la tarjeta de crédito que se almacena con un servicio de terceros». La empresa reconoció que el ataque detuvo muchas sus actividades, como retrasos en los pagos y la facturación.

Antes que Communauto fue el caso que afectó a la Sociedad de Transportes de Montreal -STM-. Esta organización detectó un ataque el pasado 19 de octubre, que resultó ser de la variedad RansomExx. Este tipo de ransomware se caracteriza por utilizar el nombre de la víctima tanto en la extensión del archivo encriptado, como en la dirección de correo específica que se crea para que ésta les contacte.

STM se puso rápido manos a la obra para tratar de solucionar el problema. En menos de cuatro horas, la empresa logró restaurar 500 servidores críticos -más del 37% de todos los que tiene-. La organización comprobó que, de los 11.000 empleados, sólo 24 habían sufrido la filtración de información personal poco sensible. Para ayudarles, STM les proporcionó apoyo de una compañía especializada en afrontar estas situaciones. Por otro lado, de 645.000 clientes, solo 72 sufrieron las mismas consecuencias. Así, todo quedó en un susto «gracias a la rigurosa preparación y a las inversiones de decenas de millones de dólares», según el CEO de STM, Luc Tremblay.

El caso de Vancouver

Muy poco tiempo después, a principios de diciembre, le tocó el turno al sistema de pago online TransLink del Metro de Vancouver. En este último caso, el software malicioso empleado fue Egregor. Este ransomware se caracteriza por activar las impresoras de las víctimas e imprimir notas con los detalles de la extorsión. De hecho, el periodista especializado Jordan Armstrong ha difundido la nota por Twitter. Está escrita en un estilo muy didáctico, explicando paso por paso cómo evitar males mayores e instalar el navegador Tor para realizar las operaciones. Incluso facilitan la URL de un chat de soporte para finalizar el pago.

Por suerte, la respuesta del servicio de transportes de Vancouver también fue rápida y el ataque no fue a más. Ningún sistema de seguridad de la infraestructura se vio afectado, limitándose al servicio de compra online de billetes y otras tecnologías de la información.

En un comunicado, el sistema TransLink destacó que emplea numerosas herramientas para prevenir, identificar y mitigar los posibles ataques. «Tan pronto como lo detectamos, adoptamos medidas inmediatas para aislar y cerrar los sistemas tecnológicos clave, contener la amenaza y reducir el impacto en nuestras operaciones e infraestructura»; con estas palabras resumía la reacción de TransLink su CEO, Kevin Desmond. Además, al utilizar un proveedor externo para procesar los pagos, los ciberdelincuentes no tuvieron acceso a datos sensibles de los clientes.

Los cibercriminales, a por las refinerías

Quizás más grave todavía haya sido el ciberataque a Parkland, un gran distribuidor de combustible y gas. El 14 de noviembre, por precaución, esta compañía de Alberta tuvo que desconectar algunas aplicaciones de sus ordenadores. En esta ocasión, el grupo de atacantes se hacía llamar Clop, y reclamaron su autoría en el Internet profundo. Anteriormente, este grupo había llegado a pedir 20 millones de dólares a la empresa de software AG por desencriptar sus datos. Al final, acabaron publicados, con detalles financieros y personales sobre sus clientes.

Parkland no confirmó que se tratase de ransomware, pero sí reconoció que había sido atacada. La empresa no tiene constancia de que se haya accedido a información no autorizada sobre sus clientes ni sus empleados. Sin embargo, la firma de ciberseguridad IT World Canada descubrió que Clop había filtrado 500 MB de datos, y que éstos hablaban de operaciones en refinerías.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.