El ciberataque de extrema sofisticación también llega a México

Un ataque informático de escala planetaria tuvo el día de ayer como epicentro bancos, aeropuertos y la red eléctrica ucraniana. El nuevo ciberataque paralizó a grandes compañías de todo el mundo.

El ataque fue identificado como una variante de Petya, que aprovecha la vulnerabilidad conocida como EternalBlue, utilizada también en el anterior ciberataque de escala global: WannaCry. La diferencia es que ahora se trató de un sistema de mayor complejidad.

En los equipos afectados de la mayor petrolera de Rusia, Rosneft, la gigante del transporte marítimo Maersk, la productora de las galletas Oreo, Mondelez, la farmacéutica Merck & Co, bancos, aeropuertos y la red eléctrica de Ucrania se leyó esto:

“Si lees esto significa que has perdido acceso a tus archivos, pues fueron encriptados. Quizá estés preocupado por encontrar la manera de recuperarlos, pero no pierdas el tiempo. Nadie puede recuperar tus archivos sin nuestro servicio de cifrado”.

Se reportó también la suspensión del sistema operativo de la Central Nuclear Chernóbil y los trabajadores debieron monitorear manualmente los niveles de radiación. Los atacantes pedían 300 dólares por equipo para liberar la información “secuestrada”.

“Este ataque ha afectado a muchas empresas alrededor del mundo y hemos recibido los primeros reportes de empresas afectadas en Latinoamérica”, informó la compañía de ciberseguridad Trend Micro.

Aunque WannaCry, ocurrido el 12 de mayo pasado, y el nuevo ataque “son muy similares”, los expertos encontraron diferencias.

“Hemos trazado una línea y dijimos que es diferente. Los motivos son interesantes porque no parece que sea motivado financieramente. Básicamente están atacando los negocios que tienen contacto con el gobierno de Ucrania que pagan impuestos el día previo a la Constitución de Ucrania”, dijo Craig Williams, investigador de Talos, la división de ciberseguridad de Cisco.

Williams explicó que además de EternalBlue los otros vectores de propagación son Psexec (una herramienta de administración de Windows) y WMI (Windows Management Instrumentation). Y la infección se realiza de manera interna a través de la infraestructura de equipos contaminados.

Dmitry Bestuzhev, director del Equipo de Investigación y Análisis de Kaspersky Lab para América Latina, coincidió en que se trató de un ataque de alta complejidad dado que involucra diversos vectores de ataque.

“Podemos confirmar que se empleó un exploit modificado de EternalBlue para su propagación, al menos en las redes corporativas”, dijo.

El ataque se propagó a México y países de América Latina.

“Rusia y Ucrania han sido los más afectados, pero también hemos registrado ataques en Polonia, Italia, Reino Unido, Alemania, Francia, Estados Unidos y varios países más. Sí, en este momento ya tenemos confirmados ataques en México, Brasil y Ecuador”, confirmó Bestuzhev.

No es Petya 

Los primeros reportes del día de ayer sugirieron que se trató del malware Petya, aunque los expertos de Kaspersky Lab dijeron que fue un malware nuevo no antes visto e incluso le bautizaron como NotPetya. Bestuzhev, de Kaspersky Lab, fue cauteloso en las atribuciones y los orígenes del malware, pues aún se está investigando el ataque.

“Aún no está claro qué es exactamente el nuevo ransomware. Algunos pensaron que podría ser alguna variación de Petya (Petya.A, Petya.D o PetyaWrap), o bien que podría ser WannaCry (lo cierto es que no lo es). Actualmente se está investigando esta nueva amenaza”, dijo Bestuzhev.

Williams, de Talos, reconoció que si bien existen similitudes con Petya, la motivación dista de ser financiera. El grupo de ciberseguridad de Cisco optó por llamarle Nyetya.

Ciberataques cada vez más sofisticados

Este ataque cibernético se propaga a través de la vulnerabilidad EternalBlue, misma que utiliza el ransomware WannaCry y que fue utilizada por la Agencia de Seguridad Nacional de Estados Unidos (NSA) en sus programas de espionaje.

La firma Symantec —que calculó en 5,500 millones de dólares los costos financieros del cibercrimen en México en el 2016— explicó que Petya es un malware que data del 2016 y que difiere del ransomware típico, ya que no sólo encripta archivos, sino que también sobrescribe y cifra el registro de arranque maestro (MBR).

Para Carlos Ayala, analista de la firma de seguridad informática Arbor Networks, la “sintomatología” es similar a la registrada con WannaCry hace un mes.

“Las muestras de la variante de Petya aparentan también funcionalidades de WMIC; otros han confirmado que se dispersa por SMB en Windows y EternalBlue como mecanismo de explotación sobre la vulnerabilidad CVE-2017-0144 que originalmente fue liberada por el grupo Shadow Brokers en abril del 2017. El host de Windows infectado inmediatamente generará tráfico TCP en el puerto 445 y hace peticiones ARP en la red local”, dijo.

Los ataques como WannaCry y este con epicentro en Ucrania evidencian la necesidad de que las organizaciones prioricen los sistemas de protección para reducir su perfil de riesgo con rapidez.

Microsoft reconoce que el nuevo virus explota un fallo de Windows

Al igual que sucederiera con WannaCry, este nuevo virus informático afecta principalmente al sistema operativo más utilizado. La ola de ciberataques a escala global que se detectó este martes utiliza una vulnerabilidad de Windows para la que Microsoft ya había publicado un parche de seguridad. La empresa norteamericana ha reconocido el fallo y ha apuntado que el primer ataque estuvo dirigido a Ucrania.

“El virus utiliza varias técnicas para su propagación, entre ellas, una que ya ha sido abordada en una actualización de seguridad disponible para cualquier sistema, desde Windows XP a Windows 10, denominado MS17-010” confirmó la compañía.

Tras el anterior ciberataque producido por WannaCry en mayo, Microsoft aconsejó a sus clientes y usuarios instalar el parche MS17-010. El fallo y las formas de sacar provecho ya se dieron a conocer previamente en una serie de materiales ‘hackeados’ a la agencia de seguridad estadounidense (NSA).

Pese a todo, Microsoft ha asegurado que continuará investigando el problema, al tiempo que ha adelantado que tomará «las medidas necesarias para proteger a sus clientes». Fuentes de la firma americana han recomendado de nuevo cautela a la hora de abrir archivos desconocidos puesto que este tipo de ataques de ransomware o ataques de secuestros de datos, que generalmente utilizan los mensajes de correo electrónico para propagarse.


Alternativas en Computación tiene el conocimiento y las herramientas para ayudar a su empresa a prevenir y mitigar el riesgo que representa ransomware.

¡Si deseas agendar una cita, por favor déjanos tus datos!

Fuente: El Economista

Leave A Comment