Cencosud secuestrado

Era la noche del pasado viernes 13 (en 2020, uff), cuando un empleado preocupado por el medio ambiente documentaba cómo el virus que afectó a Cencosud tiene las impresoras del local imprimiendo cartas de rescate/recompensa.

Egregor es el nombre del ransomware que golpeó a varios equipos de Cencosud en Chile y Argentina. Un ransomware es un virus que secuestra el contenido de un computador poniéndole llave a los datos y luego te pide una recompensa a cambio de la llave.

Los ataques con ransomware no son una novedad, pero son una realidad muy presente en el mundo. Quizás el ransomware más icónico hasta el momento es WannaCry, que durante el 2017 afectó a muchísimas organizaciones alrededor del mundo.

WannaCry, como la mayoría de los virus, explotaba alguna vulnerabilidad particular para propagarse entre computadores. Es parecido al coronavirus en ese sentido, porque no diferencia entre un computador de una persona, de un supermercado o de una clínica. En el caso de WannaCry, la vulnerabilidad explotada sólo afectaba a equipos Windows y ya había sido arreglada un año antes del incidente por Microsoft, pero lamentablemente muchas organizaciones todavía no actualizaban sus equipos.

Pero Egregor es totalmente distinto. No tiene una forma determinada en su propagación que alguien deba encontrar cómo pararlo (así como la vacuna del coronavirus). Éste es un programa que debe ser ejecutado en un equipo dentro de una red organizacional y, además de encriptar todos los datos que encuentre en esa red, se preocupa antes de descargarlos de forma íntegra al equipo del hacker. Una vez que haya terminado este proceso, identifica las impresoras conectadas al equipo y las usa para imprimir la carta de rescate.

Las empresas más grandes que ha atacado este virus son: Crytek, Ubisoft (ambas empresas de videojuegos), Barnes & Nobles (librerías en USA) y Foxtons group (propiedades).

Pero entonces, ¿cómo llega este virus a ejecutarse en equipos de una organización como Cencosud?

Ransomware como servicio

He aquí lo particular de Egregor, éste es un servicio más que un virus que se propaga autónomamente. Cada ataque de Egregor cuenta con: 1) un hacker que logre vulnerar algún computador de alguna organización que desee atacar; 2) el servicio de Egregor y 3) un hacker que distribuya el virus usando la vulnerabilidad detectada (puede ser el mismo primer hacker u otro). Luego se dividen cualquier recompensa entre las partes involucradas. Es un verdadero cartel de criminales cibernéticos. A los hackers que se suscriben al servicio se les llama "afiliados".

No es mi intención venderles el servicio de Egregor, pero para explicar lo absurdamente "profesional" del servicio, éste incluye el virus a ser ejecutado con todas sus consecuencias, la disponibilidad de un chat dedicado a cada organización atacada donde se deberá negociar el pago de la recompensa para recuperar los datos y hasta una ayuda posterior a la empresa que pague el secuestro indicando medidas a tomar para evitar futuros ataques.

Otro virus quizás no tan sofisticado, pero similar, que afectó hace poco en Chile fue REvil/Sodinokibi. Como un servicio de virus configurable para cada caso, terminó secuestrando gran parte de los equipos del Banco Estado. Ése, al igual que WannaCry, sólo afectaba a equipos que no hayan sido debidamente actualizados.

¿Qué hacer para que no me pase a mí?

Todavía no está claro cómo lograron vulnerar los equipos de Cencosud, pero hay dos cosas importantes que tener claro:

1. La mayoría de los ransomware intentan atacar organizaciones para cobrar pagos grandes.
2. La gran mayoría de los ataques podrían haber sido prevenidos simplemente manteniendo los equipos actualizados.

Así que la próxima vez que tu computador te pida actualizarse, te recomiendo que le digas "bueno ya".