Empresas multinacionales y entidades en varios países fueron este martes víctimas de un potente ciberataque de ransomware, una modalidad en la que se usa software malicioso para encriptar los archivos y luego exigir al usuario del equipo el pago de un rescate.
La nueva ola de ataques cibernéticos comenzó en Ucrania y Rusia y luego se extendió a otros países afectando a empresas como el laboratorio estadounidense Merck, la francesa Saint Gobain, dedicada a materiales de construcción, y la petrolera rusa Rosneft.
Compañías de ciberseguridad atribuyeron los ataques al virus 'Petrwrap', una versión modificada del 'ransomware' Petya utilizado por piratas informáticos en 2016.
Este programa es similar al usado en el ciberataque de Wannacry, perpetrado el pasado 12 de mayo y que afectó a más de 150 países y 200.000 usuarios. En esta ocasión los cibercriminales pidieron a las víctimas afectadas un pago de 300 dólares en bitcoins.
Sin embargo, en este caso además de los archivos, Petya también cifra el sector de arranque de la máquina afectada lo que, según la compañía de ciberseguridad Etek International, “evita el acceso al sistema operativo y a los archivos sin importar si se intenta iniciar el dispositivo en modo de recuperación o prueba de fallos”.
De acuerdo con la empresa Symantec, Petya se propaga explotando la vulnerabilidad MS17-010, conocida como Eternal Blue, también usada por Wannacry.
Aunque no se conoce aún el origen de la infección, se cree que se pudo propagar a través de correo electrónico o con la descarga de un archivo. “Si se infectó el usuario tiene 45 minutos en los que se puede apagar o reiniciar el equipo y no va a haber problema. Después de los 45 minutos la información y la maquina van a estar cifradas”, señaló Iván Camilo Castellanos, consultor experto en seguridad de información de ETEK International.
“Están explotando la misma vulnerabilidad que tenía Wannacry con el atenuante de que en el momento en que va a iniciar la máquina no solo se van a cifrar los archivos sino que se cifra también todo el sector de arranque por lo que el equipo queda totalmente inútil”, agregó.
En el momento en que va a iniciar la máquina no solo se van a cifrar los archivos sino que se cifra también todo el sector de arranque
No obstante, a pesar de estos reportes la compañía de ciberseguridad rusa Kaspersky Labs señaló que sus análisis preliminares “sugieren que no se trata de una variante del 'ransomware' Petya sino de un nuevo 'ransomware', que nunca se había visto hasta la fecha. Por eso lo hemos apodado NotPetya"
"Parece ser un ataque complejo, que usa varios vectores para propagarse por las redes de las empresas afectadas", dijo Kaspersky.
Ucrania ha sido el país más afectado por este incidente y de acuerdo con el departamento de delitos informáticos de la Policía Nacional de ese país se han recogido más de 200 denuncias de instituciones públicas, empresas y usuarios particulares. Los bancos, el metro de Kiev y el aeropuerto de Boryspyl fueron blanco de los ataques.
Entre las entidades afectadas también se encuentra el gigante ruso del sector de metales Evraz; la naviera A.P. Moller-Maersk, principal grupo industrial de Dinamarca; y el gigante publicitario británico WPP.
De acuerdo con un reporte de Etek International, se ha realizado un estimado de 31 pagos por este ataque, especialmente en Ucrania y España, equivalentes a 8.025 dólares. Castellanos asegura que es posible que algunas empresas en Suramérica tengan afectación teniendo en cuenta que algunas de las multinacionales contagiadas tienen oficinas en la región. No obstante, aún no hay un reporte oficial.
Ante esta situación las empresas de ciberseguridad recomiendan a las compañías y a los usuarios en general actualizar los sistemas operativos, instalar los parches de seguridad y no ejecutar archivos de dudosa procedencia que podrían llegar como adjuntos en correos electrónicos.
“En caso de ser víctima, la recomendación es no acceder al pago solicitado por los atacantes ya que no solo no está garantizado que vayan a devolver el acceso a los archivos, sino que esta práctica alienta a que se continúen realizando este tipo de ataques.”, señaló Camilo Gutierrez, Jefe del Laboratorio de ESET Latinoamérica.
TECNÓSFERA
Comentar