El pasado 4 de noviembre nos hacíamos eco de una nueva campaña de ransomware que afectó a la Cadena SER y que se aprovechaba de la vulnerabilidad BlueKeep para que la todavía hay millones de ordenadores vulnerables. Este ransomware, llamado Ryuk, entró a través de un correo de phishing en un ordenador de la empresa, y se extendió por toda la red local. Dos semanas después del ataque, todavía no se han recuperado.

El ransomware que infectó a la Cadena SER todavía sigue causando estragos

Un ransomware cifra los archivos de un ordenador con una clave que es imposible descifrar por fuerza bruta, y sólo en unos cuantos casos se consigue revertir el proceso de cifrado generado por ese malware. Por ello, lo recomendable suele ser hacer una copia de seguridad de las unidades de almacenamiento y volver a empezar desde cero hasta que se publique la herramienta correspondiente. Otra opción que da el hacker es pagar por descifrar los datos, pero esto no es recomendable porque luego o no envían la clave, o el email al que hay que enviarle el recibo ya ha dejado de estar operativo.

De momento, no hay ninguna solución, y por ello los sistemas de la SER de todo el país siguen todavía cifrados. Aunque han podido recuperar algunos y pueden funcionar con relativa normalidad, la plataforma Redacta sigue sin estar operativa.

Esta plataforma es la que utilizan los periodistas para obtener audios de agencias, de otras emisoras, y es clave a la hora de crear nuevos contenidos para completar noticias. Una vez crean el guion con ese programa, lo pasan a Dalet, la otra plataforma que usan para gestionar la emisión del contenido.

Una copia de seguridad a tiempo evita los problemas que puede causar un ransomware

De momento, para ir sobre seguro, lo que hacen es recibir la información de prensa de manera externa, y luego lo copian a un pendrive para llevarlo al control de la emisora. Además, otro de los fallos que están experimentando es que no pueden acceder a los correos corporativos porque la renovación de las contraseñas coincidió con la llegada del virus, y por ello muchos no están recibiendo ni notas de prensa ni convocatorias.

Así, vemos que la SER sigue recuperándose poco a poco del ataque, pero todavía les queda un largo camino para poder volver a la normalidad en las próximas semanas y meses. Un ataque de estos nos recuerda la importancia de tener copias de seguridad aisladas de Internet, así como también fuera del recinto de la empresa en servicios de almacenamiento en la nube.

A nivel internacional se detectó la presencia de campañas de ransomware usando Ryuk, pero se estimó que su incidencia era realmente baja. Así ha sido en todo el mundo, pero por desgracia las empresas afectadas están sufriendo mucho