Ransomware económico y a medias
Hace unos días varios equipos en la red central de mi lugar de trabajo fueron infectados con un ransomware conocido como Dharma. Nunca había sucedido algo así y era cuestión de tiempo antes de que nos ocurriera.
Se distribuyó a sí mismo en la forma de un gusano por medio de carpetas compartidas. La infección surgió en los equipos de la red plana, los de la VLANs estuvieron a salvo.
Las víctimas vieron sus archivos cifrados con extensión .arrow y el funcionamiento del equipo disminuyó. Varias cosas llamaron la atención del estado de los equipos:
- Nunca apareció mensaje o se encontró un archivo exigiendo el rescate.
- Sólo se cifraron archivos, la partición en sí no sufrió cifrado.
- Se pudo restaurar el sistema al estado de unos días antes.
- Los archivos se pudieron recuperar a una semana de antigüedad, shadow copy seguía funcionando.
No en todos los equipos estaba habilitada la restauración del sistema y los archivos, en estos casos, la perdida de documentos de trabajo se pudo haber paliado con una política de respaldos o un servicio de almacenamiento en la red.
Pareciera que la infección no se pudo completar, tal vez esa haya sido la razón por la cual el daño no se esparció. A razón de este incidente se deshabilitaron las carpetas compartidas de toda la red.
En mi oficina el deshabilitar las carpetas nos llevó a cambiar la configuración de un escáner para que los trabajos los enviara a un FTP con usuarios que tienen acceso sólo a su directorio y agregar como una ubicación de red al perfil del usuario. También tuve que buscar una solución a la realización de respaldos y trabajar documentos compartidos en la red de mi oficina.
Los sistemas informáticos siempre son muy frágiles. Hay que tomar todas las medidas posibles para protegerlos porque de ellos dependen el trabajo y el dinero de otras personas. No hay que dormirse en el puesto.