Esta es una historia real.
EL día 26 de abril de 2021: Un habitual lunes por la mañana, en el año en el que se produjo una pandemia en todo el mundo, donde la mayor parte de las empresas tecnológicas aún permiten a sus empleados trabajar desde casa. Había muy poco tráfico en la carretera y el aparcamiento estaba casi vacío cuando Jack aparcó su Cherokee rojo frente al edificio de su oficina. Jack venía a la oficina de vez en cuando para revisar las instalaciones. Aquella mañana, había acudido a la oficina para realizar el mantenimiento de sus servidores Windows®.
Jack es el director de esta oficina, la sucursal de ventas e investigación de una empresa multinacional. Con sólo un reducido número de empleados trabajando en esta sucursal, Jack – al igual que muchas personas que dirigen una pequeña empresa – lleva muchos puestos de trabajo al mismo tiempo. Es el vicepresidente de investigación, el ingeniero de software, así como el soporte del departamento de informática, todo en uno.
Para su trabajo de investigación, Jack necesita conectarse constantemente a sus servidores con el fin de acceder a los datos y las aplicaciones. Desde el aislamiento, para hacer posible el trabajo desde casa, Jack ha tenido que abrir muchos puertos de servicio con el fin de acceder. Durante bastante tiempo, los últimos 12 meses, todo funcionaba bien… hasta el lunes 26 de abril.
Ese día, cuando intentó conectarse como de costumbre, la contraseña no funcionó. Lo intentó varias veces sin éxito y finalmente tuvo que utilizar el disco PE para eliminar la contraseña de administrador del servidor. Consiguió entrar, pero inmediatamente se sorprendió al ver que muchos archivos estaban encriptados, y los tipos de archivo habían cambiado a Eking.
Entonces vio esta fatídica nota:
Buscando en Google a Eking, Jack se dio cuenta de que sus servidores estaban infectados por un tipo de ransomware llamado Phobos.
Jack lo pensó durante un segundo y sacudió la cabeza: «¡Qué ironía! Cuando la gente se protege celosamente de COVID-19, sus servidores se llevan el «sorteo de la suerte» en su mundo». Como experto geek de la tecnología, Jack comprendía naturalmente los riesgos de seguridad de los puertos de servicio abiertos públicamente. Pero, ¿quién podría atacar a una pequeña empresa? Al fin y al cabo, son una entre millones de empresas en Silicon Valley, y una pequeña que operaba bajo el radar.
Pero Jack no tuvo tiempo de preguntarse «por qué», sino que rápidamente se enfrascó en cómo recuperarse.
Esto es lo que Jack ha aprendido sobre Fobos:
- Fobos recibe su nombre del dios griego Fobos, hijo de Ares y Afrodita y hermano gemelo de Deimos. Fobos era el dios y la personificación del miedo y el pánico. (Esta anécdota es para los amantes de la mitología griega y de la ciberseguridad).
- El ransomware Phobos apareció a principios de 2019 y la gente cree que está vinculado a la familia Dharma. Phobos es un ransomware que se distribuye a través de conexiones de Escritorio Remoto (RDP) hackeadas. ¡Bingo! Los servidores de Jack tienen bastantes servicios RDP y los mantuvo abiertos durante todo el periodo de trabajo desde casa para acceder a ellos.
Resultó que entre sus cuatro servidores Windows®, dos Windows® 2019, dos Windows® 2016, los dos Windows 2016 en los que se alojaba su Sistema de Pedidos (todos los pedidos y cada transacción) estaban comprometidos. Los servidores Windows 2019 permanecieron intactos.
¿Pudo Jack recuperar todos sus pedidos? ¿Pagó el rescate de 3000 dólares? Continuaremos la próxima semana…