Cómo han atacado los ciberdelincuentes a la eléctrica EDP, a la que le piden un rescate de 10 millones de euros para descifrar todos sus archivos confidenciales y evitar que se filtren en internet

Logo de la compañía eléctrica portuguesa EDP.
REUTERS/Eloy Alonso
  • EDP, la multinacional energética portuguesa, ha sufrido un ataque informático.
  • Los ciberdelincuentes exigen 10 millones de euros como rescate para recuperar sus archivos.
  • Advierten que si no se abona esa cifra, se filtrarán 10 terabytes en archivos sensibles de la compañía, que incluye credenciales de trabajadores o datos de la firma.
  • El hackeo se conoció esta semana a través de los medios portugueses, pero el portal especializado en ciberseguridad, Bleeping Computer, ha proporcionado nuevos detalles sobre cómo funciona este ataque.
  • EDP tiene en España más de un millar de trabajadores y opera con más de 2 millones de contratos de luz y gas. La página de la filial en España no funciona.
  • Descubre más historias en Business Insider España.

La energética lusa EDP ha sufrido un importante ciberataque mediante ransomware. Los ciberdelincuentes han logrado robar más de 10 terabytes de información sensible de la compañía y encriptar los sistemas de la firma, según han asegurado en su propio sitio web y recoge el portal especializado en ciberseguridad Bleeping Computer.

Este ciberataque trascendió a principios de esta semana. Los cibercriminales exigen cerca de 10 millones de euros en criptomonedas como rescate para que EDP recupere el control de sus sistemas. En la nota de rescate, los hackers han advertido a la energética de que no intenten descifrar sus archivos 'secuestrados' con ninguna otra aplicación informática que la que los propios criminales le facilitarán una vez se pague el rescate.

Business Insider España se ha puesto en contacto con el departamento de Comunicación de EDP en España, pero por ahora no ha habido respuesta. En el país, la compañía portuguesa cuenta con 2,4 millones de contratos de luz y gas y da empleo a más de 1.300 trabajadores. Desde que se anunció el ciberataque, la web de la filial española está inaccesible. La firma asegura en el portal que se debe a razones de "mantenimiento".

Leer más: Los peores pronósticos en ciberseguridad se cumplen: los hackers que utilizan 'ransomware' empiezan a filtrar documentos confidenciales de sus víctimas

¿Cómo han conseguido penetrar los ciberdelincuentes en toda una multinacional de la energía? En los últimos meses los ciberataques con ransomware han crecido exponencialmente, centrando sus principales objetivos en empresas. Las autoridades españolas y principales firmas de ciberseguridad aseguran, no obstante, que las principales víctimas de estos ciberdelincuentes son las pymes.

Grosso modo, el ransomware es un tipo de virus o programa malicioso capaz de infectar una red informática de una compañía, cifrando todos sus archivos. Una vez el código de los hackers se ha conseguido propagar por toda la red, el grupo criminal exige el pago de un rescate para desencriptar los archivos afectados.

Es lo que le ocurrió a la consultora española Everis o a la Cadena Ser hace unos meses. También una multinacional española, Prosegur, sufrió un importante ciberataque a finales del año pasado. La oleada de ataques con ransomware también afectó a administraciones como el Ayuntamiento de Jerez, o a hospitales privados de la cadena Vithas.

Leer más: Las autoridades españolas en ciberseguridad lanzan un curso gratis para que no caigas en la trampa de los hackers y asegures tu correo o tu teletrabajo

La noticia del ciberataque a EDP se conoció esta semana a través del diario luso Jornal de Notícias. Sin embargo, no ha sido hasta ahora cuando el portal Bleeping Computer, especializado en ciberseguridad, ha dado varios detalles sobre cómo los cibercriminales han logrado penetrar en la energética.

Los hackers usaron un 'ransomware' llamado Ragnar Locker y amenazan con filtrar credenciales de trabajadores, contratistas y clientes

El ataque informático que ha sufrido EDP se ha perpetrado con un ransomware en concreto, llamado Ragnar Locker, y que empezó a registrar sus penetraciones en diciembre de 2019, explica Bleeping Computer.

El medio especializado ha encontrado la página web del grupo criminal que opera este ransomware en el internet profundo. En un comunicado, los hackers insisten en que han conseguido sustraer 10 teras de información de la compañía energética, y dan muestra de ello filtrando algunos archivos.

Leer más: Los ataques de ransomware irán a más en 2020 y las grandes empresas sufrirán chantajes con sus documentos confidenciales, según los expertos en ciberseguridad

"Aquí tenéis un par de archivos y pantallazos de vuestra red, como prueba de vuestra posesión. Este comunicado es temporal, pero se convertirá permanente y publicaremos esta filtración en importantes periódicos y blogs, se lo diremos a todos vuestros clientes, socios y competencia. Depende de vosotros que esto sea confidencial o público", advierten los hackers, según Bleeping Computer.

Los primeros archivos filtrados contemplan credenciales de trabajadores, direcciones y notas internas de la firma. Para ponerse en contacto con sus cibersecuestradores, EDP tiene que descargarse el navegador Tor, empleado para navegar por el internet profundo, y comunicarse con los hackers a través de un chat. "No estamos en línea 24 horas al día, por lo que tendrás que esperar tu turno", advierten los criminales.

Los delincuentes han llegado a ofrecer un descuento en el rescate si la compañía paga en 2 días, y hay un plazo de 20 días para sufragar el coste de 1.580 bitcoins, cerca de 9,9 millones de euros. 

Según Bleeping Computer, el ransomware Ragnor Locker se detectó hace menos de medio año y su modus operandi es muy singular: ataca a las vulnerabilidades de los programas MSP. Este tipo de programas son empleados por organizaciones y empresas para gestionar sus infraestructuras tecnológicas y digitales. 

Frente a otros tipos de malware, que en muchos casos atacan al azar y mediante automatismos, los criminales detrás de Ragnor Locker contemplan fases de "reconocimiento" y "prelanzamiento", con el objetivo de conseguir que el ataque sea indetectado y lo más efectivo posible.

LEER TAMBIÉN: Qué es Kr00k, la última vulnerabilidad con la que los hackers pueden espiar las conexiones wifi: comprueba si tu dispositivo está afectado

LEER TAMBIÉN: 9 secretos relacionados con la ciberseguridad que los hackers no quieren que sepas

LEER TAMBIÉN: El director de ciberseguridad de Microsoft revela cómo quiere proteger a las compañías de una amenaza casi mayor que los hackers: sus propios empleados

VER AHORA: Todos los interrogantes sobre el coronavirus que siguen sin respuesta

    Más:

  1. Ciberseguridad
  2. Tecnología
  3. Energía
  4. Trending
  5. Top