Home Infraestructuras críticas Johannesburgo fue víctima de un segundo ataque de ransomware en 2019

Johannesburgo fue víctima de un segundo ataque de ransomware en 2019

Johannesburgo sufrió un ataque de rescate, que paralizó los servicios municipales, según informes de los medios de comunicación sudafricanos y el Twitter de la ciudad. City Power, una compañía eléctrica, propiedad de la ciudad, que fue golpeada por un ataque similar en julio, también se vio afectada por la última ofensiva.

En una nota de rescate publicada en la cuenta de Twitter de Johannesburgo, el jueves último, un grupo que se autodenomina Shadow Kill Hackers exigió cuatro bitcoins (33.600 dólares) de la ciudad antes de las 5 p.m. del lunes 28 de octubre, amenazando con publicar los datos de la ciudad en Internet si el pago no se realiza, según The South African.

Aunque la ciudad tomó la nota de rescate de su feed de Twitter, algunos residentes locales capturaron capturas de pantalla del mensaje.

La nota de rescate decía: “Todos sus servidores y datos han sido pirateados. Tenemos docenas de puertas traseras dentro de su ciudad. Tenemos el control de todo en su ciudad. También comprometimos todas las contraseñas y datos sensibles como finanzas e información de población personal”.

El ataque del software de rescate comenzó el jueves por la noche, y los funcionarios de la ciudad continuaron luchando para devolver los servicios a los residentes el viernes, según un informe publicado en The Times, un periódico local. El sitio web principal de la ciudad de Johannesburgo permaneció inactivo el viernes, y los funcionarios de la ciudad señalaron que el equipo municipal de TI desconectó los sitios web de la ciudad y de los servicios electrónicos como medida de precaución. Esto incluye sistemas de pago y de gestión de las relaciones con los clientes basados en SAP, según la cuenta de Twitter de la ciudad. Los funcionarios de la ciudad no dijeron si planeaban recuperar los sistemas informáticos por su cuenta o pagar el rescate.

“El incidente está siendo investigado actualmente por expertos en seguridad cibernética de la ciudad de Joburg, que han tomado medidas inmediatas y apropiadas para reforzar las medidas de seguridad para mitigar cualquier impacto potencial”, según la cuenta de Twitter de la ciudad.

Las organizaciones de noticias locales informaron que varios bancos de Johannesburgo estaban investigando los incidentes cibernéticos del jueves, aunque no está claro si estos estaban relacionados con el ataque con software de rescate contra la ciudad.

El ataque del jueves fue el segundo incidente de software de rescate que afectó a la ciudad de Johannesburgo, durante 2019.

En julio, City Power, que suministra electricidad a Johannesburgo y es propiedad de la ciudad, se vio afectada por un programa de rescate. Ese ataque dejó sin electricidad a algunos residentes, y muchos no pudieron comprar electricidad de City Power, pagar sus facturas de servicios públicos o acceder a otros servicios.

El tipo de software de rescate que golpeó a City Power nunca fue revelado, y no se sabe si el incidente de julio está relacionado con el ataque del jueves.

En su canal de Twitter, City Power instó a los residentes locales a utilizar la aplicación móvil de la empresa porque algunos servicios de su sitio web principal estaban desactivados y su centro de llamadas permaneció desconectado el viernes.

En los EE.UU., los ataques de rescate que se han dirigido contra organizaciones de atención médica, municipios locales, gobiernos municipales y distritos escolares han ido en aumento, según un análisis publicado a principios de este mes por la empresa de seguridad Emsisoft.

Ese informe encontró más de 600 ataques de software de rescate en los primeros nueve meses del año. Y aunque los sistemas de salud se vieron especialmente afectados, los investigadores de Emsisoft encontraron cerca de 70 incidentes en los que participaron gobiernos locales, municipales y estatales.

Sin embargo, en las últimas semanas, el director de tecnología de Emsisoft, Fabian Wosar, dice que su empresa ha notado que los ataques con software de rescate se han alejado de Estados Unidos y se han desplazado hacia Sudáfrica, Canadá, España y Australia. También señaló que la nota de rescate enviada a los funcionarios de Johannesburgo mostraba un nivel de personalización nunca antes visto.

Además de seguir el ataque de Johannesburgo, Emsisoft está tratando de determinar si el reciente alejamiento de Estados Unidos es un nuevo patrón para los atacantes. “No podemos decir si esto es una coincidencia, pero ciertamente parece que los malos actores están probando suerte en nuevos territorios”, dice Wosar.

Matt Walmsley, director para Europa, Oriente Medio y África de la empresa de seguridad Vectra, dice que la cantidad relativamente pequeña de rescate que los atacantes de Johannesburgo están buscando parece ser una forma de asegurar que se les pague algo.

“Los ciberdelincuentes están tomando cada vez más decisiones económicas racionales en torno a las organizaciones y exigen niveles de rescate que creen que tendrán una mayor probabilidad de pago”, dice Walmsley a ISMG. “Los equipos de ciberseguridad que apoyan a la ciudad sin duda trabajarán a fondo para confirmar el alcance de cualquier ataque a los funcionarios de ayuda para decidir si deben pagar”.

Durante el último año, los atacantes han tenido un éxito mixto en extorsionar a las ciudades de Estados Unidos para pedir rescate. En junio, por ejemplo, la ciudad de Riviera Beach, Florida, acordó pagar a los hackers unos 600.000 dólares en bitcoin para poner fin a un ataque de rescate que paralizó la infraestructura de TI de la ciudad durante casi un mes.

Pero la ciudad de Baltimore se negó a pagar un rescate, y los funcionarios de la ciudad decidieron someterse al proceso de recuperación de sus sistemas de TI en lugar de pagar por una clave de descifrado. La ciudad informa que hasta ahora ha gastado alrededor de 18 millones de dólares en costos de recuperación y en la compra de nuevos equipos.

Con información de: TekCrispy.