Galicia Ártabra Digital Noticias de Ferrol y la comarca de Ferrolterra.
El grupo de gobierno del concello de Neda quiere salir al paso de las declaraciones efectuadas por el portavoz del Partido Popular, Ignacio Cabezón, en la cual se calificaba de burla y se señalaba, de forma, cuando menos equivocada o malintencionada, de que no se había hecho nada al respecto al ataque informático los servicios del Concello.
Desde el gobierno local se ha enviado un comunicado en el que se señala que « preocupa el hecho de que el Sr. Cabezón, presente en el Pleno, no leyera las actas de comisión de Gobierno, en la cual, el día 27 se señalaban todas las actuaciones y protocolo a realizar a partir del ataque por este virus, el cual llegó a muchos ordenadores y entidades, incluso varios concellos, disfrazado como falsa factura de Endesa.
El grupo socialista en el momento de entrar en el gobierno municipal, realizó un plan de informatización, con el objetivo de poner en marcha todas las actuaciones necesarias para modernizar la Administración Local, algo que no se contempló con la anterior, y adquiriendo equipos informáticos, desarrollando todas las herramientas que los tiempos actuales exigen, y mejorando el sistema.
A mayores es cuanto menos sorprendente, que en acta de Junta de gobierno del 27 de Junio, enviada a todos los grupos, se aclarase un pormenorizado de lo ocurrido y las actuaciones a realizar, que conducen a mejorar nuestro sistema, realizado el día 22 de Junio, hace más de un mes, por lo que vemos que el grupo popular ni se interesó por el problema, y sólo intenta quitar rédito político con acusaciones falsas.
Por último lamentar la herencia recibida en cuando a dotación y equipamientos informáticos, así como actuaciones a realizar, lo que conllevó la necesidad de incrementar la dotación económica para informatizar, modernizar y adquirir nuevos equipos, que mejoren el rendimiento de la Admon Local.
Adjuntamos copia literal del acta del 27 de Junio en el apartado 8, en el que se señala el protocolo y actuaciones realizadas y a ejercer en el futuro, por lo que creemos que las acusaciones del Sr. Cabezón van en el sentido de confundir a la opinión pública, como en las cuentas de la fiesta del pan, acusando de que faltan facturas, cuando en la realidad no existen ni están registradas en el concello, ó de que la Tirolínea no disponía de autorización y licencia».
INFORME DE LA XUNTA DE GOBERNO DEL PASADO 27 DE JUNIO
Según consta en el acta de la junta de gobierno del pasado día 27 de junio, en el apartado 8, y en relación al ataque informático al servidor municipal
« A Xunta de Goberno coñece de informe de continxencia: “Ataque Troyano ransomware CryptXXX”, emitido o día 22/06/2016 por D. Marcos Pita López, informático da empresa EUMELEC GALICIA, S.L. (EGALCOM), adxudicataria do contrato para a prestación do “servizo de soporte informático” deste Concello de Neda, dito informa, transcrito literalmente di:
El 17 de Junio de 2016 el ayuntamiento de Neda sufre el ataque de la versión creada el día anterior del troyano ransomware Crypt XXX que utiliza un cifrado con RSA4096.
Lo normal es que una vez terminado el cifrado, desaparezca del ordenador, para que no los antivirus no puedan tratar de detectarlo y eliminarlo, aunque en este caso pudimos detectarlo, retirando el equipo afectado de la red.
El ransomware es un Troyano que se oculta en un fichero de apariencia real (generalmente un pdf) con forma de factura de Endesa o Fenosa o de notificación de correos. El documento pdf es en realidad un ejecutable que solicita permiso al usuario para ejecutar diferentes tareas, el usuario aceptada y el virus aprovechando las vulnerabilidades típicas de JAVA y de ADOBE realiza un encriptado de los archivos del disco duro del equipo en cuestión así como de los discos externos o unidades de red mapeadas, que es precisamente la forma en que las unidades G y H del servidor mantenido por diputación se conectan a los equipos municipales.
Una vez realizada la infección el troyano deja un archivo html que redirige a una url donde dan instrucciones para el pago de un rescate solicitado en bitcoins que en este caso es de 1736,96 € según empresa especializada en gestión de bitcoins, aunque sin garantía de recuperación de los datos.
En este caso la infección afectó al propio equipo, y a las unidades mapeadas G y H en cuanto a ficheros doc., pdf, lotus etc., aunque no bloqueo las aplicaciones de uso común (Sigem, padrón, contabilidad o nóminas), pero si cifró todos los archivos del servidor.
El troyano no causó daños aparentes en ninguno de los otros equipos conectados a la Red.
El caso se puso en conocimiento de Diputación para intentar restaurar la copia de seguridad del sistema, detectando que esta, había sido realizada en momento posterior al ataque y había machacado la copia anterior haciéndola inservible. También se nos informa por parte de la Diputación que han sido varios los ayuntamientos atacados en los dos últimos años, con el ataque más reciente en el ayuntamiento de Betanzos.
También nos hacen saber que se informó en su momento de que los servidores harían la copia de seguridad en el propio servidor y de la conveniencia de montar un protocolo paralelo de copias de seguridad en cinta o dispositivo adicional.
Se cursa denuncia en la Guardia Civil informando del ataque, adjuntando fichero de solicitud de rescate, capturas de archivos encriptados y documentación del virus».
Causas del ataque informático
«En un análisis posterior del ataque se puedo comprobar que los factores que influyeron en el mismo fueron:
1- El troyano era demasiado reciente con lo que a pesar de que el antivirus del equipo estaba totalmente actualizado no existía en ese momento actualización que detectase el mismo, dejando descargarlo y ejecutarlo sin realizar bloqueo o advertencia alguna.
2- El equipo donde se realizó la ejecución era totalmente vulnerable, ya que tenía sistema operativo Windows XP, sin soporte desde marzo de 2014, ya que aunque se estaba realizando la renovación de pcs del ayuntamiento quedaban pendientes 3 pcs, entre ellos el pc de donde partió el ataque.
3- El ataque se produjo justo previo a la realización de la copia de seguridad diaria, lo que causó que la misma se realizase ya con el servidor encriptado.
4- No existía más que el sistema de copia en la propia máquina, lo que no permitió tener una copia física en otra ubicación del contenido del servidor».
Medidas correctivas
Una vez descubierto se realizan varias acciones paralelas:
«1- Se obtiene toda la información acerca de la versión del virus y se contacta con varias empresas especializadas en desencriptación de datos, obteniendo de todas la respuesta de que dado lo reciente de la fabricación del troyano no existe algoritmo de desencriptación actualmente
2- Se contacta con Eidolocal para intentar recuperar de su repositorio las actas de los últimos años.
3- Se establece un seguimiento de alertas en foros de las principales casas de antivirus para conocer un posible algoritmo de desencriptación.
4- Se revisan todos los pcs para evitar posibles propagaciones
5- Se retira de la red el pc implicado y se custodia para su posible estudio por la brigada telemática de la Guardia Civil al cursar la correspondiente denuncia.
6- Se pone en conocimiento del CAU de Xunta de Galicia para revisar las transferencias de datos de los últimos días en la línea, por posibilidad de fuga de documentos que queda en principio descartada por la actividad de red.
7- Se revisan todos los equipos de la red que resultan estar limpios, descartando la existencia de restos de virus de cualquier tipo, cabe recordar que este tipo de troyanos puede dejar fragmentos susceptibles de infectar de alguna otra forma los equipos».
Complementariamente se proponen las siguientes acciones:
1- Substitución inmediata de los pcs con licencia XP que persisten, para evitar nuevos ataques (total 4 pcs)
2- Compra de licencias de S.O. Windos10 para 4 pcs así como compra de licencias de otros software necesarias.
3- Puesta en marcha de 3 servidores NAS (1 oficina técncia y otros dos para copia redundante del contenido del servidor realizando copia en uno de los NAS en días pares y en otro en los impares y ubicándolos en partes diferentes del edificio).
4- Revisión del estado de todas las licencias de las máquinas del Concello.
5- Compra de 15 PEN drive individuales con la finalidad de que cada trabajador tenga copia de documentación importante a buen recaudo.
6- Compra de un disco externo de 1TB con la finalidad de tener una copia mensual del servidor y BBDD custodiada fuera del edificio, en otra dependencia municipal.
7- Revisión de la red municipal, así como montaje de un armario RACK (esta fase se encontraba ya en marcha)
8- Solicitud de una línea ADSL simple para comunicaciones externas en caso de contingencia y de línea atacada.
9- Compra de un pc portátil para contingencias para realizar gestiones en el caso de no poder utilizar la red corporativa.
A Xunta de Goberno toma coñecemento igualmente da denuncia formulada por tal ataque informático, presentada ante a Garda Civil (Posto de Fene, Comandancia de A Coruña), aos efectos legais oportunos».
