Aumentan los secuestros digitales a empresas en 2014

¿Que harías si al llegar a tu empresa un lunes te encontrases que no hay ni rastro de la información de tu empresa en tus sistemas?. Y si buscando la información descubres que eres victima de un "secuestro digital", ¿qué harías?. Puede sonar a chiste pero es un problema muy real que se está acrecentando según aumenta esta crisis que estamos pasando.

Axantum AXcrypt

Según estadisticas de la policía, solo en el último trimestre de 2013 se han dado 7 casos de secuestro digital en empresas del sur de Madrid. Al parecer, el "modus operandi" es común en todos los casos, un grupo de hackers extranjeros consiguen acceder a los sistemas de una empresa, bloquean el acceso al sistema y proceden a encriptar la información contenida mediante contraseña para extorsionar a la victima a cambio de dinero.

Es el caso que nos hemos encontrado en una empresa que ha recurrido a nosotros pidiendo ayuda por un problema como el que describimos aqui. En su caso concreto, todos los empleados llegaron un lunes por la mañana a trabajar y se encontraron la empresa paralizada. Había desaparecido toda la información de los sistemas y lo unico que encontraro fueron archivos encriptados. Aparentemente, los archivos eran los mismos pero su extensión era archivo.AXX y al intentar acceder, solicitaba contraseña.

AXXaxx2

En otras palabras, no era posible acceder a los ficheros, ni funcionaba el software de gestión, ni las bases de datos, ni el correo electrónico, etc... En resumen, la empresa estaba totalmente parada, un bloqueo digital en toda regla. Nuestros administradores de sistemas empezaron a investigar la incidencia, recabando toda la información posible de cara a realizar un informe para la policia. Entre otras cosas, lo primero que se encontraron fueron las instrucciones de los "secuestradores" en el escritorio:

Mail Hacker

Traducido viene a decir:

Si estás leyendo este texto (lee esto cuidadosamente), significa que tus archivos importantes (fotos, vídeos, documentos, archivos, bases de datos, copias de seguridad, etc), han sido encriptados con el algoritmo de cifrado militar más fuerte, AES.
Nadie puede ayudarte a restaurar los archivos sin nuestro decodificador. Photorec, RannohDecryptor etc, son inútiles y pueden destruir tus archivos.
Si deseas restaurar tus archivos, envia un correo electrónico a datarestore1@mail.ru con el archivo "READ ME txt!" y 1-2 archivos cifrados menos de 1 MB.
Recibirás los ejemplos descifrados y nuestras condiciones de cómo conseguir los archivos originales. Sigue las instrucciones para enviar el pago.
Recuerda, nosotros no somos estafadores, no necesitamos tus archivos. Todos tus archivos serán restaurados totalmente.
PD
Tu dirección IP: 83.61.XX.XX
Nuestra dirección de correo electrónico: datarestore1@mail.ru

Para que todos lo entendamos, un grupo de hackers hubicado en rumania han entrado en el servidor, instalado un software de encriptacion de datos y nos han dejado una simpatica nota que nos invita a pagarle una cantidad por recuperar nuestra propia informacion. Como bien dicen los amigos, el software empleado para la encriptación es "AxCript 1.7.29" (de la empresa Axantum - http://www.axantum.com/axcrypt/). Es un software gratuito que emplea codificación de nivel militar (AES) para protección de archivos, la cual es imposible de crakear sin el password empleado para encriptar y muy dificil de descifrar por fuerza bruta.

Por curiosidad, se entabló conversación con los hackers los cuales pedían 4000€ por recuperar nuestros archivos proporcionandonos el password, y siempre manteniendo la promesa de que recuperaríamos todos nuestros archivos. Tras una breve necociación, bajaron su "tarifa" hasta los 2000€ (sin existo porque el cliente no estaba dispuesto a ceder). La conclusión es que se realizaron mejoras en la seguridad de los sistemas del cliente, se cambiaron los accesos a la información y se recuperaron todos los archivos posibles de los discos duros.

Pasos a realizar ante un secuestro digital

  1. Poner una denuncia aportando toda la informacion de la que se disponga (IP, LOG del servidor, etc...) para que la policia pueda revisar el caso y actuar en consecuencia. Además les sirve de ayuda para casos similares.
  2. No ceder a la EXTORSION, ya que nadie nos garantiza que una vez ralizado el pago a una cuenta en un pais con una lesgislacion en cuanto delitos tecnologicos inexistente, nos vallan a dar la contraseña para descifrar los ficheros en lugar de pedirnos más dinero.
  3. Instalar un software de recuperacion de datos en superficie de disco (por ejemplo "Ashampoo Undeleter", que por un modico precio te puede ayudar a resolver el problema). El funcionamiento del AXcrypt, al igual que muchos otros programas, es reemplazar el archivo original por otro encriptado, eliminando el primero. Un error por parte de los hackers fue no formatear el espacio libre en disco, de manera que pudimos recuperar el 90% de los archivos encriptados (empleando para ello hasta 6 programas diferentes y siendo imposible recuperar las bases de datos SQL).
  4. Cambiar todas las claves de los sistemas, sobre todo la de administrador,  y revisar la seguridad de nuestro parque informático para evitar futuras intrusiones. En este caso concreto se accedió a través del puerto 3390.
  5. Asegurate que los hackers no han dejado usuarios creados del tipo SUPPORT o ADMINISTRATOR que a primera vista parecen legitimos pero no lo son.
  6. En último lugar, tener una copia de seguridad online actualizada. En el caso de este cliente, el disco duro donde se realizaba la copia de seguridad estaba conectado por USB y el grupo de hackers realizó un formateo a bajo nivel para imposibilitar la recuperación de la informacion del disco.

Esperamos que nuestra experiencia te sirva de ejemplo para evitar futuros casos parecidos. Y si te pasa, no dudes en ponerte en contacto con nosotros, te ayudaremos en todo lo que podamos.

Artículos de Mantenimiento Informatico relacionados

PDF Converter Elite es un conocido programa que permite transformar archivos PDF en varios formatos, existiendo una opción gratuita que transforma de PDF a Word, Excel y PowerPoint, capaz también de crear archivos PDF a partir de documentos en m...

thumbnail of Convierte tus ficheros PDF a doc, xls y ppt, GRATIS!!!!

Tan sólo unos días después de hablaros de CopyChangedFiles, una utilidad que nos ayudaba a copiar todos los archivos modificados a un directorio de nuestra elección, vengo con un programa que lo complementa a la perfe...

thumbnail of Track Folder Changes, monitorización de archivos y carpetas.

( ! ) Notice: Undefined offset: 2 in /home/brainhardware/public_html/web/blog/templates/post.php on line 89
Call Stack
#TimeMemoryFunctionLocation
10.0000263840{main}( ).../settings.php:0
20.0300417568include( '/home/brainhardware/public_html/web/blog/router.php' ).../settings.php:134
30.0301418440ite->request( ).../router.php:15
40.0302419784call_user_func_array:{/home/brainhardware/public_html/cache/e3a68d52649a0b10d6ec54f4914a748c:131} ( ).../e3a68d52649a0b10d6ec54f4914a748c:131
50.0302420208{closure:/home/brainhardware/public_html/web/blog/router.php:13-15}( ).../e3a68d52649a0b10d6ec54f4914a748c:131
60.0302421208include( '/home/brainhardware/public_html/web/blog/templates/post.php' ).../router.php:14

( ! ) Warning: Invalid argument supplied for foreach() in /home/brainhardware/public_html/inc/breadcrumbs.php on line 103
Call Stack
#TimeMemoryFunctionLocation
10.0000263840{main}( ).../settings.php:0
20.0300417568include( '/home/brainhardware/public_html/web/blog/router.php' ).../settings.php:134
30.0301418440ite->request( ).../router.php:15
40.0302419784call_user_func_array:{/home/brainhardware/public_html/cache/e3a68d52649a0b10d6ec54f4914a748c:131} ( ).../e3a68d52649a0b10d6ec54f4914a748c:131
50.0302420208{closure:/home/brainhardware/public_html/web/blog/router.php:13-15}( ).../e3a68d52649a0b10d6ec54f4914a748c:131
60.0302421208include( '/home/brainhardware/public_html/web/blog/templates/post.php' ).../router.php:14
70.0374527072genPostys( ).../post.php:89

¿Y tú qué opinas?