Ciberataques en Ucrania de 2017

De Wikipedia, la enciclopedia libre
Ir a la navegación Ir a la búsqueda
Un mensaje del ransomware Petya mostrado por pantalla en un ordenador infectado.

Fueron una serie de ciberataques que empezaron el 27 de junio de 2017, empleando el malware Petya que inundó varios sitios web de instituciones y empresas ucranianas, incluyendo bancos, ministerios, diarios y empresas de electricidad.[1]​ Se recibieron reportes de infecciones similares de Francia, Alemania, Italia, Polonia, Rusia, Reino Unido, los Estados Unidos y Australia.[2][3][4]​ El 28 de junio de 2017, ESET estimó que 80% de todas las infecciones procedían de Ucrania, siguiéndole Alemania con aproximadamente un 9% de las infecciones.[5]​ El 28 de junio de 2017, el gobierno ucraniano declaró que el ataque fue frenado. El 30 de junio de 2017, la Associated Press informó que los expertos concluyeron que Petya se había hecho pasar por un ransomware, mientras que realmente había sido diseñado para causar un gran daño, siendo Ucrania el objetivo principal.[6]

Acceso[editar]

Expertos de seguridad creen que el ataque se originó a partir de una actualización de un paquete de contabilidad ucraniano llamó MeDoc (uk), desarrollado por Intellect Service. MeDoc es ampliamente utilizado entre contables de impuestos en Ucrania, y el software era la opción principal para contabilidad para varios negocios ucranianos, según Mikko Hyppönen, un experto de seguridad en F-Secure. MeDoc tenía aproximadamente 400.000 clientes a lo largo de Ucrania, representando aproximadamente 90% de las empresas domésticas del país. Previo al ataque, el software estaba instalado en cerca de un millón de ordenadores en Ucrania.[7][8]

MeDoc proporciona actualizaciones periódicas a su programa a través de un servidor de actualización. El 27 de junio de 2017, el día del ataque, una actualización para MeDoc fue enviada por el servidor de actualización, tras lo cual empezó el ataque del ransomware. El experto en malware británico Marcus Hutchins, reclamó " parece ser que el sistema de actualización automático del software fue infectado y utilizado para descargar y ejecutar malware en vez de actualizaciones para el software". La compañía que produce MeDoc afirmó no haber tenido involucración alguna en el ataque del ransomware, ya que sus oficinas fueron también afectadas, y estaban cooperando con la ley para rastrear el origen del ataque.[9]​ Un ataque similar a través del software MeDoc se llevó a cabo el 18 de mayo de 2017 con un ransomware XData. Centenares de departamentos de contabilidad se vieron afectados en Ucrania.[10]

El ciberataque se basó en una versión modificada del ransomware Petya. Parecido al ataque del ransomware WannaCry en mayo de 2017, Petya utiliza el exploit EternalBlue, que fue anteriormente descubierto en versiones más viejas del sistema operativo Windows. Cuándo Petya se ejecuta, cifra la Tabla Maestra de Archivos del disco duro y fuerza al ordenador a reiniciarse. Entonces, muestra un mensaje al usuario diciéndole que sus archivos están ahora cifrados y debe transferir 300 dólares estadounidenses en bitcoin a una de sus tres carteras y así recibir instrucciones para poder descifrar los archivos. Al mismo tiempo, el software explota el protocolo Server Message Block en Windows para infectar ordenadores locales en la misma red, y cualquier ordenador remoto que pueda encontrar.

El exploit EternalBlue había sido anteriormente identificado, y Microsoft emitió parches en marzo de 2017 para acabar con el exploit en las versiones de Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012, y Windows Server 2016. No obstante, el ataque WannaCry infectó muchos sistemas que todavía usaban antiguos sistemas operativos Windows o versiones tempranas de los sistemas operativos más nuevos que todavía poseían el exploit, o aquellos en los que los usuarios no habían seguido los pasos apropiados para descargar el parche. Microsoft emitió nuevos parches para Windows XP y Windows Server 2003 así como versiones anteriores de los otros sistemas operativos el día siguiente al ataque del WannaCry. Lesley Carhart, experto de seguridad, declaró que "cada método de explotación que el ataque utilizó para propagarse podía haberse prevenido con la documentación adecuada".[11]

Expertos de seguridad habían descubierto que la versión de Petya utilizado en los ciberataques en Ucrania había sido modificado, por lo que fue denominado NotPetya o Nyetna para distinguirlo del malware original. NotPetya cifró todo los archivos de los ordenadores infectados, no solo la Tabla Maestra de Archivos, y en algunos casos dichos archivos fueron completamente eliminados o reescritos de forma tal que no podían ser revertidos los cambios.[12][13]​ Algunos expertos de seguridad observaron que el software podía interceptar contraseñas y realizar acciones sin necesidad de permisos del administrador que podrían dañar completamente los archivos del ordenador. También notaron que el software podía identificar ordenadores concretos e infectarlos, sugiriendo que el ataque era más preciso en sus objetivos. Todavía falta por descubrir un "interruptor de apagado", como el que tenía WannaCry, que parase inmediatamente la propagación.[14]​ Según Nicholas Weaver de la Universidad de California, los piratas informáticos primero debieron haber infectado MeDoc convirtiéndolo en una especie de troyano de control remoto para luego iniciar los ataques.

Referencias[editar]

  1. Prentice, Alessandra (27 de junio de 2017). «Ukrainian banks, electricity firm hit by fresh cyber attack». Reuters. Consultado el 27 de junio de 2017. 
  2. Scott, Nicole Perlroth, Mark; Frenkel, Sheera (27 de junio de 2017). «Cyberattack Hits Ukraine Then Spreads Internationally». The New York Times (en inglés estadounidense). ISSN 0362-4331. Consultado el 4 de julio de 2017. 
  3. Turner, Giles; Verbyany, Volodymyr; Kravchenko, Stepan (27 de junio de 2017). «New Cyberattack Goes Global, Hits WPP, Rosneft, Maersk». Bloomberg. Consultado el 27 de junio de 2017. 
  4. «Global ransomware attack causes chaos». BBC News. 27 de junio de 2017. Consultado el 27 de junio de 2017. 
    Burgess, Matt. «There's another 'worldwide' ransomware attack and it's spreading quickly». Wired UK. Consultado el 27 de junio de 2017. 
  5. «Tax software blamed for cyber-attack spread». BBC News. 28 de junio de 2017. Consultado el 28 de junio de 2017. 
  6. «Companies still hobbled from fearsome cyberattack». Associated Press. 30 de junio de 2017. Consultado el 3 de julio de 2017. 
  7. Kramer, Andrew (28 de junio de 2017). «Ukraine Cyberattack Was Meant to Paralyze, not Profit, Evidence Shows». The New York Times. Consultado el 29 de junio de 2017. 
  8. Satter, Raphael (5 de julio de 2017). «Ukraine says it foiled 2nd cyberattack after police raid». Associated Press. Consultado el 5 de julio de 2017. 
  9. Frenkel, Sheera (27 de junio de 2017). «Global Ransomware Attack: What We Know and Don’t Know». The New York Times. Consultado el 28 de junio de 2017. 
  10. «Все, что известно про вирус-вымогатель XData: кто под угрозой и что делать» (en russian). 24 de mayo de 2017. Consultado el 29 de junio de 2017. 
  11. Borys, Christian (4 de julio de 2017). «The day a mysterious cyber-attack crippled Ukraine». BBC. Consultado el 8 de julio de 2017. 
  12. Polityuk, Pavel (29 de junio de 2017). «Global cyber attack likely cover for malware installation in Ukraine: police official». Reuters. Consultado el 29 de junio de 2017. 
  13. Petroff, Alanna (30 de junio de 2017). «Experts: Global cyberattack looks more like 'sabotage' than ransomware». CNN. Consultado el 30 de junio de 2017. 
  14. Petroff, Alanna (28 de junio de 2017). «Europol: There's no 'kill switch' for malware attack». CNN. Consultado el 30 de junio de 2017.