El Departamento de Policía de Massachusetts se enfrentó a una infección del ransomware Cryptolocker en su red, y como resultado, tomó la decisión de pagar 500 dólares en bitcoins para rescatar sus archivos secuestrados. Antes que nada, les recordamos que desde ESET recomendamos no pagar para terminar con esta práctica delictiva, y en oposición, aplicar buenas prácticas preventivas para no enfrentarse a amenazas como esta.

Sucede que en diciembre del año pasado, los sistemas de la Policía de Massachusetts estuvieron no funcionales durante alrededor de cinco días debido a la infección, según reporta el diario local Tewksbury Town Crier. Se trabajó con el FBI, el Departamento de Seguridad Nacional de los Estados Unidos y la policía estatal, así como con empresas privadas, en un esfuerzo por restaurar los datos sin pagar.

Mientras tanto, los archivos cifrados fueron separados del resto y se aplicó una protección antivirus en todas las máquinas de la red. De esta forma, se pudieron usar parcialmente los sistemas, aunque no se recobró el acceso a los registros afectados.

Como varios otros que revisamos en nuestra Guía básica sobre ransomware, si Cryptolocker infecta a un equipo busca una amplia gama de tipos de archivos para cifrar, y muestra un mensaje donde exige una transferencia electrónica para descifrar los archivos. En algunos casos, la pantalla de bloqueo también incluye la transmisión en vivo de lo que la cámara web del equipo está viendo en ese momento.

En este caso, parece ser que la puerta de entrada fue una serie de correos de phishing que contenían adjuntos maliciosos, falsos avisos de rastreo de envíos de FedEX y UPS, e incluso pop-ups. Estos son, en efecto, los métodos típicos, aunque también hay versiones de Cryptolocker que se distribuyeron a través de redes peer-to-peer (P2P) para compartir archivos, haciéndose pasar por claves de activación para programas populares de software como Adobe Photoshop y Microsoft Office.

El Jefe de Policía Timothy Sheehan le dijo a Town Crier que habían sido víctimas de una nueva versión, para la que las autoridades no tenían la llave. Sumado a eso, la copia de respaldo completa más reciente con la que contaban tenía 18 meses de antigüedad, por lo que no les servía para restituir los archivos y datos necesarios para volver a estar plenamente funcionales -y por eso terminaron decidiendo pagar el rescate. Lamentablemente, no es la primera vez que vemos casos en los que se sigue el juego de los criminales: el año pasado, una empresa argentina pagó 2.500 dólares para recuperar sus archivos.

No hace falta decir que, de haber contado con un backup actualizado y en forma, quizás se podría haber evitado este desenlace. Si quieren más información y lineamientos al respecto, pueden acceder a nuestra Guía de Backup.