Com funciona el ransomware i per què qualsevol organització pot patir atacs

Què tenen en comú l'Hospital Clínic de Barcelona, el Consorci Sanitari Integral, la Universitat Autònoma de Barcelona, un oleoducte que uneix Texas i Nova York o l'empresa càrnia més gran del món? Doncs que han patit el mateix tipus de ciberatacs, coneguts com a ransomware, que consisteixen a segrestar els arxius d'una organització i demanar un rescat per alliberar-los.

Qualsevol empresa, entitat o institució pública que funcioni amb sistemes informàtics hi està exposada. "La pregunta no és si tindrem atacs de ransomware, sinó quan", alerta el director d'estratègia de l'Agència de Ciberseguretat de Catalunya, Tomàs Roy.

Mentre la Generalitat rep intents d'atac de ransomware "cada dia", l'Agència de Ciberseguretat de Catalunya està en alerta perquè a partir de 2022 creu que els pirates digitals intentaran atacar infraestructures crítiques, però també els seus socis o proveïdors més petits, des d'on els és més fàcil accedir als grans "botins".

Un dels grups més potents dedicats a aquest tipus de delictes informàtics, REvil, responsable del famós atac a l'oleoducte nord-americà, el va desarticular fa un any per l'FBI en col·laboració amb diversos països. Com a resposta, altres grups de ciberextorsió han "declarat la guerra" al govern dels Estats Units.

Més lucratiu que el narcotràfic

La ciberextorsió va començar de forma massiva el 2018, quan s'atacaven sobretot usuaris individuals i es reclamaven imports relativament baixos.

En uns tres anys, però, s'ha especialitzat a afectar sectors estratègics i aconseguir rescats més elevats. "Han arribat a crear una indústria del crim amb un impacte econòmic molt elevat, superior al narcotràfic", explica Roy.

El moment àlgid va arribar el 2020. Amb la pandèmia i l'extensió del teletreball, es van generalitzar els atacs al sector de la salut i també a sistemes de VPN, que permeten connectar-se des de casa a l'entorn laboral.

Des del 2021, el cibercrim s'ha "industrialitzat". Diversos agents treballen en cadena per aconseguir les credencials, fer l'extorsió o blanquejar els diners obtinguts, que després es reparteixen. "La col·laboració entre els delinqüents del cibercrim és millor que entre els que el combatem", afirma Roy.

Durant l'any 2021 es va registrar el rècord històric de ciberatacs, amb un 50% més que el 2020. L'import mitjà dels rescats ha arribat als 283.000 euros, segons un informe de l'Agència de Ciberseguretat de Catalunya.

La doble extorsió

Els cibercriminals fan servir darrerament nous mètodes per augmentar els ingressos. No només segresten les dades sinó també amenacen de fer-les públiques. És el que s'anomena la "doble extorsió", que afecta ja un 77% dels atacs.

A banda de demanar diners a la víctima per retornar-li l'accés, també volen una recompensa per no publicar la informació a què han accedit. Els pirates accedeixen a les dades dels directius de les empreses, les més sensibles, i amenacen de divulgar-les a periodistes o clients.

Saben qui està disposat a pagar

Aproximadament 3 de cada 10 víctimes decideixen pagar el rescat, però fer-ho no garanteix recuperar totes les dades. Alguns estudis diuen que accedir a les peticions dels atacants fa que es recuperi, de mitjana, un 67% de la informació compromesa.

A més, pagar envia un missatge clar als atacants. "Si pagues dones la informació que estàs disposat a fer-ho, com a empresa i com a sector. A nivell corporatiu i sectorial s'ha d'intentar tenir plans de ciberseguretat per evitar que sectors com el logístic, l'alimentari o les infraestructures crítiques siguin objectes d'atacs", afirma Roy.

Un 80% d'organitzacions que van pagar rescats en casos de ransomware van rebre més atacs posteriorment, segons una enquesta de Cybereason a més de 1.200 professionals de la ciberseguretat d'Espanya, els EUA, el Regne Unit i altres països.

Els que van decidir no pagar

Durant un dia sencer, l'any 2018, el telèfon d'emergència dels Estats Units, el 911, va deixar de funcionar a la ciutat de Baltimore. La raó era un atac de ransomware que es va repetir mesos després, impedint als ciutadans pagar els rebuts de l'aigua ni el parquímetre durant setmanes, entre molts altres inconvenients. Però llavors, l'Ajuntament va dir prou.

Els atacants demanaven un rescat prou assumible per a Baltimore: 13 bitcoins, que en aquell moment eren uns 76.000 dòlars. Però la ciutat no va pagar i el cas va suposar un abans i un després en la ciberextorsió.

Fins llavors, molts serveis públics dels EUA, com el mateix Ajuntament i hospitals d'arreu del país, acostumaven a accedir a les peticions dels atacants. "Fins i tot l'FBI recomanava pagar, perquè el cost econòmic de fer-ho era més baix que el de recuperar les dades", apunta Roy.

"La pregunta no és si ens atacaran, sinó quan"

Els experts avisen que qualsevol organització amb un nombre elevat d'ordinadors i, per extensió, qualsevol que depengui de sistemes informàtics, pot ser víctima d'atac.

"La pregunta no és si ens atacaran, sinó quan", avisa Roy. Per molt que es formi els usuaris per evitar obrir la porta als atacants, "cal assumir que hi haurà errors: fins i tot el responsable de seguretat de l'empresa cau en paranys".

La clau és prendre mesures com tenir còpies de seguretat fora de línia, que els atacants no podran trobar ni xifrar. També es recomana protegir especialment els comptes dels usuaris que són administradors del sistema.

I si ens ataquen, "la millor defensa és apagar-ho tot", recomanava Tomàs Roy, director d'estratègia de l'Agència de Ciberseguretat de Catalunya, als Matins de TV3: