De Ucrania a México: ciberataque de extrema sofisticación

La noche previa a la celebración del Día de la Constitución de Ucrania se gestaba una nueva oleada de ransomware. Una actualización al software MeDoc, utilizado para los sistemas tributarios de Ucrania, estaba comprometida con un software malicioso que secuestró información de varias empresas en diversos países, México incluido. Un nuevo ataque cibernético de escala planetaria estaba en ejecución.

Tras los primeros reportes del martes, se supo que el programa informático malicioso (ransomware) afectó las operaciones de bancos, compañías navieras, aeropuertos, hospitales e infraestructura crítica. El ataque fue identificado como una variante de Petya, que aprovecha la vulnerabilidad conocida como EternalBlue, utilizada también en el anterior ciberataque de escala global: WannaCry. La diferencia es que ahora se trató de un sistema de mayor complejidad.

Si lees esto significa que has perdido acceso a tus archivos, pues fueron encriptados. Quizá estés preocupado por encontrar la manera de recuperarlos, pero no pierdas el tiempo. Nadie puede recuperar tus archivos sin nuestro servicio de cifrado , se leyó en los equipos afectados de la mayor petrolera de Rusia, Rosneft; la gigante del transporte marítimo Maersk; la productora de las galletas Oreo, Mondelez; la farmacéutica Merck & Co; bancos, aeropuertos y la red eléctrica de Ucrania. Se reportó también la suspensión del sistema operativo de la Central Nuclear Chernóbil y los trabajadores debieron monitorear manualmente los niveles de radiación. Los atacantes pedían 300 dólares por equipo para liberar la información secuestrada .

Este ataque ha afectado a muchas empresas alrededor del mundo y hemos recibido los primeros reportes de empresas afectadas en Latinoamérica , informó la compañía de ciberseguridad Trend Micro en una alerta enviada a El Economista la mañana del martes.

Aunque WannaCry, ocurrido en mayo, y el nuevo ataque son muy similares , los expertos encontraron diferencias. Hemos trazado una línea y dijimos que es diferente. Los motivos son interesantes porque no parece que sea motivado financieramente. Básicamente están atacando los negocios que tienen contacto con el gobierno de Ucrania que pagan impuestos el día previo a la Constitución de Ucrania , dijo a El Economista Craig Williams, investigador de Talos, la división de ciberseguridad de Cisco.

Williams explicó que además de EternalBlue los otros vectores de propagación son Psexec (una herramienta de administración de Windows) y WMI (Windows Management Instrumentation). Y la infección se realiza de manera interna a través de la infraestructura de equipos contaminados. Es más avanzado que WannaCry porque tiene sólo un vector. Este tiene tres. Uno de ellos es EternalBlue. Es significativamente peor, pero es interesante porque los atacantes sólo atacan internamente. Si tienes una persona usando el software que realiza impuestos en Ucrania, esa persona que tuvo esa actualización puede esparcir la amenaza internamente. Es una situación muy mala , dijo, consultado durante la celebración de Cisco Live 2017 en Las Vegas.

Dmitry Bestuzhev, director del Equipo de Investigación y Análisis de Kaspersky Lab para América Latina, coincidió en que se trató de un ataque de alta complejidad dado que involucra diversos vectores de ataque. Podemos confirmar que se empleó un exploit modificado de EternalBlue para su propagación, al menos en las redes corporativas , dijo. Un exploit es un código informático que permite a los hackers tomar control de un equipo de cómputo.

El ataque se propagó a México y países de América Latina, dijo Bestuzhev a El Economista. Rusia y Ucrania han sido los más afectados, pero también hemos registrado ataques en Polonia, Italia, Reino Unido, Alemania, Francia, Estados Unidos y varios países más. Sí, en este momento ya tenemos confirmados ataques en México, Brasil y Ecuador , dijo.

Williams explicó que las razones por las que esta infección se ha extendido a otros países fuera de Ucrania puede explicarse porque los departamentos, entidades o un grupo que paga impuestos en Ucrania tenían el software instalado en el pasado, o quizás fueron a una cafetería, no tenían la actualización y alguien en ese lugar fue comprometido en los días pasados. Es horizontal y se esparce horizontalmente detrás de tu firewall , el software que protege una infraestructura informática de ataques del exterior.

Petya o NotPetya

Los primeros reportes, que incluyeron los de la firma de seguridad Symantec, sugirieron que se trató del malware Petya, aunque los expertos de Kaspersky Lab dijeron que fue un malware nuevo no antes visto e incluso le bautizaron como NotPetya. Bestuzhev, de Kaspersky Lab, fue cauteloso en las atribuciones y los orígenes del malware, pues al cierre de esta edición aún se estaba investigando el ataque.

Aún no está claro qué es exactamente el nuevo ransomware. Algunos pensaron que podría ser alguna variación de Petya (Petya.A, Petya.D o PetyaWrap), o bien que podría ser WannaCry (lo cierto es que no lo es). Los expertos de Kaspersky Lab actualmente están investigando esta nueva amenaza , dijo Bestuzhev.

Williams, de Talos, reconoció que si bien existen similitudes con Petya, la motivación dista de ser financiera. El grupo de ciberseguridad de Cisco optó por llamarle Nyetya.

Sofisticación

Este ataque cibernético se propaga a través de la vulnerabilidad EternalBlue, misma que utiliza el ransomware WannaCry y que fue utilizada por la Agencia de Seguridad Nacional de Estados Unidos (NSA) en sus programas de espionaje.

La firma Symantec que calculó en 5,500 millones de dólares los costos financieros del cibercrimen en México en el 2016 explicó que Petya es un malware que data del 2016 y que difiere del ransomware típico, ya que no sólo encripta archivos, sino que también sobrescribe y cifra el registro de arranque maestro (MBR).

Para Carlos Ayala, analista de la firma de seguridad informática Arbor Networks, la sintomatología es similar a la registrada con WannaCry hace un mes. Las muestras de la variante de Petya aparentan también funcionalidades de WMIC; otros han confirmado que se dispersa por SMB en Windows y EternalBlue como mecanismo de explotación sobre la vulnerabilidad CVE-2017-0144 que originalmente fue liberada por el grupo Shadow Brokers en abril del 2017 , alertó. El host de Windows infectado inmediatamente generará tráfico TCP en el puerto 445 y hace peticiones ARP en la red local , dijo.

Para el experto de Talos, los ataques como WannaCry y este con epicentro en Ucrania evidencian la necesidad de que las organizaciones prioricen los sistemas de protección para reducir su perfil de riesgo con rapidez. Si esto no es una llamada de alerta, no sé qué se necesita para hacerlo , dijo Williams.

Vuelos demorados.

Ucrania pasó un martes difícil debido a un ciberataque que afectó infraestructura crítica y servicios cotidianos en el país. El aeropuerto de Kiev (en la imagen, pasajeros piden información sobre sus vuelos) vio afectadas sus operaciones, igual que el estatal Banco Nacional de Ucrania, además de bancos privados y la compañía pública de energía.

julio.sanchez@eleconomista.mx