El ataque malware a hospitales es en realidad un ataque global: el phishing con coronavirus está por todas partes

Javier Pastor

Estos días se detectaba un ciberataque que se estaba cebando en la crisis del coronavirus. Mensajes de correo electrónico eran parte de una campaña de phishing y contenían enlaces que hacían que la víctima pudiese potencialmenteinfectar sistemas hospitalarios con un ransomware.

De haber infectado esos sistemas, los hospitales españoles se hubieran visto colapsados ante la incapacidad de poder seguir accediendo a sus sistemas informáticos. Afortunadamente el ataque no ha afectado a los hospitales, pero los expertos avisan:en realidad es parte de un trágico ataque global de phishingque usan el coronavirus como excusa para intentar colarse en nuestros ordenadores.

El coronavirus como trampa para instalar ransomware

En los correos que están llegando (entre muchos otros) al personal sanitario desde hace aproximadamente una semana se invita al usuario a pinchar en enlaces para obtener más información sobre la pandemia, pero dichos enlacesson en realidad una trampaque provoca que por ejemplo la víctima instale sin saberlo unransomware llamado Netwalker.

Sobre ataques a hospitales, lo que hay es campaña de spam internacional para distribuir ransomware. El email adjunta el fichero CORONAVIRUS_COVID-19.vbs ->https://t.co/X7SMI4aOIYdescarga y ejecuta ->https://t.co/34svgWx1QOque es el ransomware NetWalker

Ese ransomware hubiera causado el mismo efecto que por ejemplo vimoshace casi tres años con el ciberataque WannaCry. En aquella ocasión diversas empresas en todo el mundo vieron como sus equipos e infraestructurasquedaban bloqueadas por un ransomware que exigía el pago de una cantidad en criptomonedaso de lo contrario los usuarios no podrían desbloquear esos equipos y volver a acceder a sus datos.

Como explicabaBernardo Quintero(@bquintero), de VirusTotal, en realidad ese teórico ciberataque dirigido a hospitaleses en realidad parte de “una campaña internacional para distribuir ransomware”.

Muchos son los correos de phishing que están circulando a nivel global y quese disfrazan de información legítimapara engañar a todo tipo de usuarios y lograr infectar equipos con ransomware como NetWalker. Han aparecidositios web como esteen los que se recopilan mensajes falsos para que quienes sospechen puedan cotejar lo que les llega con esos mensajes ya confirmados como falsos, por ejemplo.

Algunos cibercriminales tienen algo de ética: no atacan hospitales

En Xataka nos poníamos en contacto conRomán Ramírez(@patowc), experto en ciberseguridad y responsable del conocido evento Rooted CON. Ramírez nos explicaba cómo lo que explicaba Bernardo Quintero era “correctísimo”, y puntualizaba: hay desde luego “muchos grupúsculos criminales que harán y están haciendo el agosto” con este tipo de correos, pero curiosamente hay un movimiento con un componente “honesto” entre algunas mafias cibercriminales.

Ramírez nos dirigía a lo que contaban por ejemploen Bleeping Computer: varios de los responsables de ataques ransomware como los creadores del ransomware DoppelPaymerconfesaban que “siempre tratan de evitar hospitales y residencias de ancianos”.

De hecho si sus ciberataques acaban afectando a hospitales, explicaban “proporcionaremos un código de descifrado de datos de forma gratuita”, aunque esa excepción no afectaba a las compañías farmacéuticas, que según estos cibercriminales “ganan un montón de dinero extra gracias al pánico”.

Lo mismo sucedía con loscreadores del ransomware Maze, que también indicaban en un comunicado público que “pararemos toda actividad que va contra las organizaciones médicas hasta que se estabilice la situación con el virus”.

Incluso los creadores de Netwalker, el ransomware que se detectó en el caso de los hospitales españoles, indicaban que ellos no tenían esa intención. “¿Hospitales e instalaciones médicas?¿Creéis que alguien tiene como objetivo atacar a hospitales?No tenemos ese objetivo, nunca lo ha sido. Es una coincidencia. Nadie intentaría hackear a propósito un hospital”. Eso sí, si se ven afectados aun por accidente, explicaban, “tendrán que pagar por el descifrado [de los datos]”.