“L’atac informàtic a l’Ajuntament de Vilafranca era gairebé inevitable”

Raed Daher
16/11/2019 - 21:00h

Entrevistem Raed Daher, gerent de l’empresa vilafranquina Informàtica i +

Raed Daher és el gerent de l’empresa vilafranquina Informàtica i +, dedicada al manteniment de xarxes i servidors i a la reparació d’ordinadors. Daher és, a més, des de fa temps especialista en seguretat informàtica. Arran dels atacs que han patit empreses i administracions en les últimes setmanes –entre les quals l’Ajuntament de Vilafranca– hem parlat amb ell sobre els virus informàtics i sobre com prevenir-los.

Els atacs informàtics són cada cop més habituals?
En realitat, va per campanyes. Els programadors de virus els venen als hackers, que són com petits soldats. Pot ser qualsevol persona amb un mínim coneixement, des d’un nen fins a un avi, i a partir d’aquí es desplega tot l’atac. I segons l’eficàcia del virus, hi inverteixen més o menys diners.

Quins tipus de virus hi ha?
Fonamentalment n’hi ha tres: el que roba les credencials (stealer), el que controla el teu ordinador remotament (boot/troià) i el que encripta les dades i demana un rescat (ransomware).

Quines diferències hi ha?
Un boot/troià es un software aparentment inofensiu que, en executar-se, obrirà una connexió remota permetent que l’atacant pugui controlar totalment el nostre odrinador.

I l’‘stealer’?
L’stealer prové del verb steal (robar) i és un tipus de malware (programari maliciós) amb una funció molt concreta: robar les dades guardades als nostres navegadors (Chrome, Firefox, Internet Explorer) i també roba les contrasenyes dels correus electrònics d’Outlook i això permet que fent ús del correu de la víctima es puguin enviar correus a altres persones. Així, capturen totes les credencials i contrasenyes guardades, incloses les dels bancs. Aquests arxius es presenten sempre combinats amb programes gratis que descarrega l’usuari o bé es descarreguen automàticament a l’ordinador en obrir arxius maliciosos enviats a través del correu electrònic.

I el ‘ransomware’?
Aquest virus encripta arxius importants de l’ordinador o servidor. S’encripten les bases de dades, els arxius Excel, Word, PDF i totes les fotografies, entre altres. Aquestes encriptacions disposen d’una codificació determinada que només pot ser desxifrada per laboratoris de desencriptacions o bé per part de l’atacant. El malware llista tots els arxius als quals té accés, com poden ser arxius del disc dur, unitats de xarxa i unitats externes connectades, entre altres. Un cop llistats tots els arxius, els encripta i els deixa totalment inutilitzables. El malware mostra una imatge on indica que tots els arxius han estat encriptats i que en cas de voler recuperar aquests arxius, cal contactar amb el correu que indica.

I només es pot recuperar pagant?
L’única manera de recuperar els arxius és mitjançant una eina de desencriptatge que només acostumen a tenir els atacants. Algunes de les diferents variants de ransomware acostumen a ser desencriptables passat un temps, en què els fabricants d’antivirus aconsegueixen generar un codi de desencriptació que comparteixen de manera gratuïta o bé amb algun cost. En el cas de contactar amb els atacants, aquests demanen diners a canvi. Concretament bitcoins, ja que és una manera de fer transferències a una persona anònima i impossible de rastrejar. No es recomana contactar amb els atacants, es recomana contactar amb una empresa experta en aquests casos per mirar de solucionar el problema.

Així és com es van atacar algunes administracions, com ara l’Ajuntament de Vilafranca?
Sí. El virus es va enviar en un document de Word adjuntat infectat amb un stealer, i aleshores probablement va accedir a totes les credencials. El problema és que l’arxiu el reps des d’una adreça que coneixes i, per tant, suposes que és segura, i dins d’un fil de conversa que tu ja havies mantingut amb aquella persona. Per tant, és força improbable que sospitis que és un virus i, per tant, és gairebé inevitable que l’obris. Aquest virus que ha atacat les administracions es diu Emotet i es va descobrir al 2014 com a un troià utilitzat per robar credencials bancàries. Emotet es distribueix principalment a través de correus electrònics utilitzant diferents tècniques, com el clàssic text que diu “adjuntem factura pendent de pagament”. I la capacitat de propagació és infinita.

Ja sabem els tres virus principals, però quines són les principals vies d’infecció?
N’hi ha tres: bootnet, spam i traffic.

Parli’m del bootnet.
Consisteix en xarxes de milers d’ordinadors ja infectats i controlats per un venedor que vendrà un paquet de 1.000 ordinadors ja infectats per executar-hi un virus. Els ordinadors que formen part d’aquestes xarxes acostumen a ser ordinadors d’ús particular que en algun moment han visitat pàgines de visionat d’esports gratuïts o bé han descarregat jocs o programes sense llicència, com poden ser jocs pirates.

I l’spam? És la via d’infecció més coneguda, oi?
Sí. Consisteix en l’enviament de correus electrònics amb arxius infectats, o bé amb enllaços que els usuaris obriran per enganys. Els atacants compren bases de dades de correus corporatius en els quals hi apareixen correus de tot tipus d’empreses (petites, mitjanes i grans).

I el ‘traffic’?
Els usuaris naveguen per internet, tot sovint per pàgines malicioses, prèviament preparades per infectar l’usuari. Les pàgines infectades inclouen codis que vulneren els navegadors fent-los descarregar i executar arxius infectats.

Què s’hi pot fer?
Poca cosa, la veritat. El que s’ha de fer sempre és fer còpies de seguretat i, a partir d’aquí, tenir un antivirus bo (de pagament i de marca), tot i que avui en dia a vegades encripten els virus perquè no els detectin. A partir d’aquí, a la capçalera del correu amb el virus hi apareix el mail del contacte, però seguidament hi ha un altre correu desconegut. S’ha d’estar atent. Finalment, per a les petites i mitjanes empreses el que jo recomano és que si es rep un correu adjunt, abans d’obrir-lo cal trucar a la persona que ens l’ha enviat per confirmar que és seu.

Però això a les empreses grans és complicat.
Sí, el que recomanem ara durant un temps és bloquejar els correus electrònics amb documents arxius en format Word. I es fa d’una manera que qui envia el correu sap que no s’obrirà i que millor que enviïn els documents en altres formats.

Creu que aquests atacs cada cop aniran a més?
Sí perquè la capacitat de propagació que tenen és molt gran. A més, els usuaris estan molt poc habituats a aquests atacs perquè no se’ls ha explicat mai com es poden prevenir, o no s’ho han pres seriosament.

També et pot interessar

Comentaris