Los empleados del habitualmente saturado transporte público de San Francisco se encontraron con la más inesperada de las sorpresas este fin de semana cuando al ir a utilizar sus ordenadores fueron bienvenidos por una pantalla en negro con tan solo un ominoso mensaje: "You Hacked, ALL Data Encrypted".
Los quioscos de pago del sistema de la Agencia Municipal de Transporte (más conocida como Muni) habían sido inutilizados junto a buena parte del sistema informático, obligando a las autoridades a ofrecer sus servicios de forma gratuita durante el sábado mientras solucionaban el desaguisado.
La desactivación de los puntos de compra de billetes y carga de tarjetas del tren ligero de la ciudad era en realidad solo parte del problema. Junto al mensaje dejado por el o los hackers aparecía un texto aún más preocupante y que daba pistas de que no se trataba una simple gamberrada. La información contenida en los servidores de la agencia había sido cifrada y solo volvería a estar accesible después de pagar el equivalente a 73.000 dólares en Bitcoins.
Se desconoce si las autoridades pagaron el rescate, pero el tren ligero volvió a funcionar con normalidad en la mañana del domingo.
Si bien el uso de ransomware es sobradamente conocido entre usuarios y empresas, no es habitual que entidades públicas caigan en manos de este tipo de malware. Al menos de forma tan sumamente visible.
Según Hoodline, el ataque comenzó a tomar forma hace varios días e inicialmente solo afectó a los empleados de la agencia. Alrededor de una cuarta parte de los ordenadores de la agencia (2.112 equipos de un total de 8.656) fueron infectados. Documentación publicada por los hackers y obtenida por Hoodline señala que la agencia perdió momentáneamente acceso bases de datos, correos electrónicos e información relacionada con las nóminas de los trabajadores. Fuentes consultadas por el sitio indican que los servidores donde se almacenan las copias de seguridad se habrían salvado del ataque, minimizando los daños.
Como en otros ataques con HDDCryptor, los hackers utilizaron el pseudónimo Andy Saolis en la dirección de contacto para el pago del rescate. El funcionamiento de HDDCryptor no difiere en esencia de otros ejemplos de ransomware, sobrescribiendo y cifrando información crítica del sistema para luego exigir el pago de un rescate en caso de que el usuario quiera recuperar dicha información. Pequeñas empresas y usuarios particulares son las principales víctimas de este tipo de ataques, que ya mueven cientos de millones de euros en criptomonedas y se han convertido en una pesadilla para los administradores de sistemas.
