Más de 10 mil empleados afectados por ransomware; todos los servidores encriptados debido a vulnerabilidad de Citrix

Los incidentes de ransomware siguen afectando a empresas de todos los sectores por igual. La víctima más reciente es Finastra, una importante firma británica de tecnología aplicada a las finanzas, con más de 10 mil empleados y que proporciona software y otros servicios a más de 9 mil compañías en 130 países del mundo. Según reportan especialistas en ingeniería inversa de software, la compañía tuvo que desconectar múltiples servidores después de detectar una severa infección de malware de cifrado.

La infección fue descubierta este fin de semana, mientras el equipo de seguridad de TI realizaba un monitoreo de rutina en los servidores de la compañía. Aunque al inicio se optó por desconectar sólo el servidor comprometido, el personal de Finastra tomó medidas adicionales para evitar la propagación del malware y comenzar una investigación en colaboración con una firma de ingeniería inversa de software.

A través de un comunicado firmado por Tom Kilroy, director de operaciones de la compañía, se reconoció la naturaleza del incidente: “Es en este punto que podemos confirmar que el incidente es resultado de un ataque de ransomware; no existe evidencia que sugiera que la información de nuestros clientes o empleados se haya visto comprometida”.   

Aunque ha pasado poco menos de un día completo desde la detección del incidente, la firma asegura que sus sistemas serán restablecidos completamente a la brevedad, aunque la situación no dejará de ser monitoreada: “Contamos con un sofisticado programa de seguridad, seguiremos evaluando rigurosamente nuestros sistemas informáticos para garantizar la seguridad de la información confidencial de todos nuestros clientes y empleados”, concluyó Kilroy.   

Finastra no reveló detalles técnicos sobre el ataque, aunque expertos en ingeniería inversa de software de la firma Bad Packets aseguran que los actores de amenazas podrían haber explotado una vulnerabilidad conocida en los servidores de Citrix. Identificada como CVE-2019-11510, esta vulnerabilidad permitiría a un hacker remoto no autenticado comprometer un servidor VPN vulnerable, obtener acceso a los recursos y ejecutar código arbitrario. La firma de ciberseguridad asegura haber notificado a Finastra, aunque la financiera no se pronunció al respecto de estos reportes.

El Instituto Internacional de Seguridad Cibernética (IICS) asegura que los ataques de ransomware siguen siendo una de las prácticas más comunes entre los grupos cibercriminales. A las víctimas de estos ataques, se recomienda visitar la plataforma No More Ransom, para verificar si existe una herramienta capaz de eliminar el cifrado de sus sistemas antes de considerar cualquier pago a los atacantes.