El Centro Criptológico Nacional (CCN), la institución del CNI que se ocupa de la gestión de los ciberataques, lanzó una alerta en la que asegura que España está sufriendo este viernes un “ataque masivo” que está afectando a “un elevado número de organizaciones españolas”.
Fue Telefónica la primera empresa en dar la voz de alerta del ciberataque basado en ‘criptolocker’ (un tipo de virus que encripta e inutiliza los documentos) que afectaba a su red interna. Más tarde, Inteligencia ha constatado que se ha propagando por empresas, organización e instituciones públicas a nivel nacional.
Según los servicios de Inteligencia, el ataque afecta a sistemas Windows “cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que haya en esa misma red”.
El origen de la infección no está confirmado en estos momentos, pero fuentes cercanas a la compañía apuntan que se trata de un ataque con origen en China y que se está pidiendo un rescate en bitcoins. La cifra exigida no está clara, a pesar de la imagen mostrada y podría equivaler a 300 dólares por equipo infectado o a 300 bitcoins, lo que dada la conversación actual serían 509.487 euros.
Una cifra por determinar de equipos han mostrado pantallazos azules y errores a causa de la desconexión de la red, mientras que otros han mostrado rótulos e imágenes en referencia al rescate.
En el mensaje que aparece en pantalla, se exige un rescate en bitcoins para antes del 15 de mayo. En caso de no pagarse en dicho momento, se subirá la cifra y, llegado el día 19, borrarían los archivos a los que han tenido acceso.
Por su parte, el Servicio Nacional de Salud británico (NHS por sus siglas en inglés) ha confirmado que un importante número de hospitales públicos han sido objeto de un “ataque informático a gran escala” este viernes, lo que los ha obligado a rechazar pacientes y a cancelar citas.
Los sistemas informáticos de los hospitales afectados parecen haber sido “atacados simultáneamente” por un virus que está desviando a muchos pacientes que acuden de urgencias. El servicio de salud británico alertó de que el ataque no ha estado “específicamente dirigido” contra el sistema público, sino que “está afectando a organizaciones en todos los sectores” y añade que cree que el ataque se produjo a través de un programa malicioso llamado “Wanna Decryptor”.
Según The Independent, los hospitales afectados son 16. Según relata el personal, han recibido el mensaje de que “los sistemas están bajo control” de un grupo de secuestradores que “exigen a cambio cierta cantidad de dinero”.
El ataque ha inutilizado los sistemas de rayos X, los resultados de pruebas de patología, los sistemas de telefonía y los sistemas de administración de pacientes.
Este es el mensaje que se recibió en el ataque que ha afectado a Telefónica y otras empresas en España.
Screenshot of apparent ransomware attack message sent to NHS England trusts https://t.co/jODkWomGPA pic.twitter.com/uc2HlGH9yM
— BBC Breaking News (@BBCBreaking) 12 de mayo de 2017
Los datos que se están publicando en medios y redes sociales permiten verificar que este ciberataque está propagándose por varios países de todo el mundo, y que está mucho más presente en Rusia, Taiwán. España, Alemania, Japón y Turquía.
El ataque parece estar produciéndose también en una universidad italiana. Uno de sus alumnos publicaba la siguiente foto hace unas horas:
A ransomware spreading in the lab at the university pic.twitter.com/8dROVXXkQv
— 12B (@dodicin) 12 de mayo de 2017
Los sistemas afectados son Windows en distintas versiones (Windows 7, 8.1, Windows 10, Windows Vista SP2, Windows Server 2008/2012/2016). Según ese informe, la vulnerabilidad aprovechada en el ciberataque fue incluida en un boletín de seguridad de Microsoft el pasado 14 de marzo, y hay un documento de soporte para poder solucionar el problema.
