Raúl A. Ramos Morocho y Enrique Gallegos Mosquera
INFECCIÓN CON RANSOMWARE EN EL SERVIDOR DE BASE DE DATOS DEL SISTEMA ONSYSTEC ERP
3C Tecnología (Edición 19) Vol.5 – Nº 3
Septiembre – diciembre ‘16, 55 – 76
Área de Innovación y Desarrollo, S.L.
ISSN: 2254 – 4143
DOI: http://dx.doi.org/10.17993/3ctecno.2016.v5n4e19.55-76
Ahora bien, los respaldos se almacenaban en una carpeta en el mismo equipo, pero esa carpeta
estaba sincronizada con una cuenta de Dropbox, el famoso software de almacenamiento en la
nube, que proporciona una capacidad que va desde 5 hasta 15Gb de almacenamiento gratuito pero
aumentable comprando uno de los planes que ofertan, en este caso era una cuenta gratuita, el
ingeniero de Onsystec previendo que algo como esto podía suceder, incluso algún daño físico en el
equipo, o alguna otra situación; con los backups en la nube, se evitaría la perdida de la información.
Entonces cada vez que Onsystec backups realizaba los respaldos en la carpeta donde se guardaban,
automáticamente se actualizaba en la nube, hasta allí todo bien, el problema era que los respaldos
no se almacenaban por versiones en la nube, sino que los reemplazaba, es decir, por ejemplo: el
backup del miércoles en la noche se subía a la nube a las 12:00 de la noche, al día siguiente a la
misma hora se realizaba el nuevo backup, el cual reemplazaba al anterior. Por lo tanto, lo más lógico
era pensar que si el virus encriptó los archivos el viernes en la noche, antes de que se realizara el
backup automático, el respaldo se iba a subir a la nube encriptado y éste reemplazaría el respaldo
del jueves, provocando el deterioro total de ese respaldo, y aunque Onsystec tenía respaldos
aparte, que había copiado del Dropbox manualmente, pero estaban guardados en el mismo
servidor; ahora bien, en otro caso, si el virus encriptaba la información después del backup
automático, la situación era similar, solo con la diferencia de un día, ya que el sábado también se
haría el respaldo automático a la misma hora, por lo que el resultado habría sido el mismo.
En realidad, lo que sucedió fue que el equipo donde estaban los servidores de las bases de datos
había sido infectado con un Ransomware, este es un tipo de software mal intencionado que
básicamente “secuestra” (encripta) toda la información que hay en un ordenador, como archivos,
documentos, etc., y después pide una remuneración económica para su “rescate” (descifrar). La
manera de cómo este equipo se infectó con este virus, a ciencia cierta no se conoce aún, sin
embargo, se puede sugerir que era un virus que ya estaba en el equipo desde antes de la instalación
del sistema ERP, aunque aún no se activaba, pero estaba monitoreando la información, capturando
contraseñas, datos etc., para ver qué tan lucrativo pudiera ser el ataque, y en el momento que le
pareció oportuno, lo ejecutó; primero deteniendo el servicio del SGBD, esto significa que el malware
tenia privilegios de usuario administrador para poder detener el servicio.
Esto pudo ser posible utilizando una vulnerabilidad del software SMBD o S.O., o simplemente
habiendo obtenido la contraseña del usuario administrador previamente, por medio del mismo
software mal intencionado, haciendo uso de un keylogger o un aplicativo similar, y después cifró
toda la información con un algoritmo desconocido; dando lugar a que la única manera de recuperar
información de extrema importancia, sea pagando la suma de dinero que ellos solicitan.
Este tipo de virus es muy peligroso y dañino, con la capacidad de enviar a la bancarrota a una
empresa, en tan solo minutos. El nombre de este Ransomware se desconoce hasta el momento,
puesto que existen una gran cantidad, para nombrar algunos: Satana, CTB Locker, Locky, Zepto,
entre muchos otros. Otra teoría con respecto a la manera en que se infectó el equipo, pudo haber
sido por medio del mismo Dropbox, ya que éste se actualizaba a tempranas horas de la madrugada,
y el malware pudo haberse introducido por el mismo puerto del Dropbox, y no sería la primera vez