Desde el sábado 26 brilla en las pantallas expendedoras de boletos del Muni, como es conocido el metro de San Francisco, las palabras “ha sido hackeado, todos los datos encriptados”, “fuera de servicio” y “metro gratis”. Esto se debe al ataque informático sufrido el pasado viernes por la Agencia de Transporte Municipal de San Francisco.

El malware, una variante del HDDCrytor según reseña  The Register, infectó a 2112 computadoras de la  Agencia a través de un ataque directo a la red de Muni para vulnerar a sus equipos y almacenamiento.

El hacker logró hacerse con el control de las máquinas expendedoras de boletos, servidores de correos electrónicos e impresoras y  algunas estaciones de trabajo. Según establece The Register, el gusano informático pudo haber alcanzado el regulador de sistema Windows de toda la organización, obteniendo así acceso a más de 8500 computadoras. Todo esto se traduce en un hackeo que compromete en gran escala al SFMPA (Agencia de Transporte Municipal de San Francisco, en inglés).

Este tipo de virus similares al HDDCryptor cifran los discos locales y sus archivos mediante claves generadas aleatoriamente, y luego restablecen el Registro de Arranque Principal (MBR- master boot record) para evitar que los sistemas inicien correctamente.

El hacker responsable por  este ataque está pidiendo 100 (BTC) como rescate, cerca de 73 mil dólares, para entregar la clave que eliminará lo sobrescrito y restaurará las unidades cifradas; bitcoins que aspira sean transferidos a una cuenta que permanece vacía para evitar el rastreo de transacciones anteriores.

Pero hasta el momento los hackers no han sido contactados por ningún miembro de la agencia, por lo que decidieron dar un día más a los oficiales del Muni para ponerse en contacto antes de desaparecer. Por su parte, los extorsionistas ofrecieron descifrar la máquina por 1 BTC para probar que la restauración es posible. Estos detalles fueron recibidos el domingo en un correo electrónico enviado a la Agencia.

“Nuestro software está funcionando completamente de forma automática y no lanzamos ataques dirigidos. La red de SFMTA estaba muy abierta y 2000 servidores ya estaban infectados por el software. Así que estamos esperando el contacto de cualquier persona responsable del SFMA, pero creo que no quieren un acuerdo, así que cerraremos este correo mañana.”

Las máquinas son comúnmente infectadas por este tipo de software cuando un empleado ejecuta un archivo atrapado en un correo o descargado, luego el virus se extiende a través de la red.

Se espera que tras esta vulneración a la red de la agencia de transporte, la compañía invierta en un sistema encriptado para proteger sus datos contra futuros ataques.

Por su parte, el portavoz de la SFMTA, Paul Rose, declaró que están “trabajando para resolver la situación”. Y añadió que por tratarse de una investigación en curso “brindar detalles no es apropiado en este momento”.

Hasta el momento, aun cuando se acerca el tiempo límite para contactar al hacker, el servicio del subterráneo de San Francisco no ha recibido ningún impacto, pues han decidido dejar las puertas abiertas para minimizar los efectos.

¿Cederá Muni ante los hackers y transferirá los 100 BTC o conseguirá burlar el hackeo?

Estaremos al pendiente de las actualizaciones de este suceso en las próximas horas.