El ataque ha paralizado grandes multinacionales de medio mundo y también de España

De nuevo Aratecnia recopila la información sobre el ataque mundial de ransomware que se ha producido este martes 27 de Junio de 2017, tratando de reflejar las distintas versiones sobre el origen del virus (petya o no petya) y adoptando las soluciones de las instituciones expertas en España, como el equipo especializado en detección de ciberataques del Gobierno español (CERTSI)

Los datos: las primeras informaciones y las compañías afectadas

El 12 de mayo, otro ‘ransomware’, el virus Wannacry, afectó a cientos de miles de ordenadores en el mundo entero, y paralizó los servicios de salud británicos, así como las fábricas del gigante automovilístico francés Renault.

El 27 de junio, o sea ayer, la empresa de alimentación Mondelez (matriz de empresas como Cadbury y Nabisco y dueña de marcas como Oreo, Chips Ahoy, TUC) y el bufete DLA Piper, una de las grandes firmas legales del mundo, sufrieron un ataque de ‘ransomware’ parecido al ocurrido con Wannacry hace apenas un mes. Y no son las únicas. Otras multinancionales, como la danesa Maersk, gigante del sector transporte y logística, o la farmacéutica estadounidense Merck, están siendo atacadas a nivel mundial. Todo indica que es un ataque global y un nuevo ‘ransomware’ denominado Petya el que está afectando a Ucrania, India, España, Rusia y Reino Unido, entre otros países.

En el caso de Maersk, una de las mayores compañías afectadas, el problema ha sido de tal magnitud que el puerto de Rotterdam, el mayor de Europa, ha tenido que parar todas las operaciones con contenedores.

En España, la primera firma afectada fue DLA Piper. En sus ordenadores en Madrid en Paseo de la Castellana 35 surgió un mensaje anunciando la infección. Y hoy los cerca de 100 trabajadores de DLA Piper no pueden acceder a sus equipos o enviar mails.

El mensaje que anunciaba la infección decía, más o menos, lo siguiente: «Si puedes leer este texto, tus archivos ya no están disponibles, ya que han sido encriptados. Quizá estás ocupado buscando la forma de recuperarlos, pero no pierdas el tiempo: nadie podrá hacerlo sin nuestro servicio de desencriptación».

Para solucionar el problema, los hackers piden al usuario pagar un rescate de 300 dólares en bitcoins y enviar el justificante de pago a una dirección de correo electrónico con una contraseña preestablecida. Esta es la dirección a la que se pide enviar el rescate. Solo entonces, según ellos, podrán recuperar los archivos.

Hoy por la mañana el Instituto Nacional de Ciberseguridad (Incibe) no ofrecía información al respecto en su página web.

Las divergencias sobre la procedencia del virus

Mientras que para algunas empresas de seguridad informática, como Kaspersky, el nuevo virus no es una variante del ransomwere Petya, sino un nuevo ransomware nunca visto hasta la fecha, y al que han llamado Not Petya, para Microsoft el virus ha aprovechado un fallo de Windows.  Conforme a los primeros análisis de Microsoft, «el virus utiliza distintas técnicas para expandirse, incluyendo una que ya ha sido abordada por una actualización de seguridad puesta a disposición de todos los sistemas desde Windows XP a Windows 10, llamada MS17-010.

Microsoft continúa investigando y tomará las medidas necesarias para proteger a sus clientes.

Cómo se extiende el virus Petya o Petrwrap

El ataque de ransomware de hoy convierte en un arma las actualizaciones de software

Según informa the verge  cuando el ransomware Wannacry atacó Reino Unido y Europa en mayo, había una cierta lógica en considerar el daño como grave. Los ataques de Ransomware no eran nada nuevo, pero éste tenía un arma secreta, un sofisticado exploit de software conocido como EternalBlue, publicado por Shadow Brokers en abril y que se creía que había sido desarrollada por la NSA, la Agencia Nacional de Seguridad estadounidense (  el exploit, es un fragmento de software, que se emplea para  sacar ventaja de una vulnerabilidad de seguridad de un sistema de información para lograr  un comportamiento no deseado)  Fue una colección de armas de nivel estatal contra objetivos civiles, blandos, como robar un banco de una pequeña ciudad con un tanque Abrams. Las respuestas a la pregunta de por qué el virus se extendió tan rápido no estaban muy lejos.

Ahora, poco más de un mes más tarde, una nueva variedad de ransomware ha infligido daños similares con otras armas. Un virus de una variante de la familia Petya de ransomware, ha infectado miles de sistemas en todo el mundo, incluyendo corporaciones multinacionales masivas como Maersk, Rosneft y Merck, pero lo hace con mucha menos materia prima. Petya sigue usando EternalBlue, pero ahora muchas de las organizaciones están protegidas, y ese exploit es mucho menos crucial para la propagación del ransomware. En cambio, Petya explota vulnerabilidades más fundamentales cuando operamos en las redes y, más crucialmente, cuando entregamos parches. Este ataque no es tan llamativos como un exploit de la NSA, pero es más poderoso y podría dejar a las organizaciones en una posición mucho más difícil a medida que tratan de recuperarse de los ataques de hoy, 28 de Juniio.

Si WannaCry se centró en los sistemas mal parcheados, Petya parece haber golpeado más duro entre las grandes redes corporativas, un patrón que se explica en parte por la forma de propagación del virus. Una vez infectado un único equipo o una red, Petya utiliza herramientas de red de Windows como WMI (Windows Management Instrumentation) y PsExec para infectar otros equipos de la misma red.

Ambas herramientas se utilizan normalmente para el acceso remoto de administración, pero la investigadora de seguridad Lesley Carhart explica que a veces son utilizadas por los atacantes como una forma de propagar malware dentro de una red comprometida. «WMI es un método de movimiento lateral super-efectivo para los hackers. Es frecuentemente permitido e incorporado, y rara vez registrado o bloqueado por las herramientas de seguridad «, dice Carhart. «Psexec está un poco más depreciado y más monitorizado, pero sigue siendo muy efectivo».

Incluso las redes que se habían parcheado contra el exploit de EternalBlue eran a veces vulnerables a ataques lanzados desde dentro de la red. De acuerdo con Sean Sullivan, de F-Secure, eso está en línea con los anteriores ataques de Petya, que históricamente ha atacado grandes compañías que probablemente pagan rápidamente los rescates. «Esto comenzó como un grupo de virus dirigido a las empresas», dice Sullivan, «y ahora estamos recogiendo un exploit que es perfecto para acabar con los negocios».

El aspecto más preocupante es cómo Petya logró acceder a los ordenadores por primera vez. Según la investigación de Talos Intelligence, el ransomware puede haberse propagado a través de una actualización falsificada de un sistema de contabilidad de Ucrania llamado MeDoc. MeDoc ha negado las acusaciones, pero otros grupos han coincidido con el hallazgo de Talos, apuntando a lo que parece ser una firma digital falsificada en la carga útil. Si esa firma fuera efectiva, habría dado a los atacantes un camino limpio a casi cualquier sistema que ejecuta el software.

Eso también explicaría la gran huella de Petya en Ucrania: hasta el 60 por ciento de las infecciones totales estaban en ese país, incluyendo el banco central de Ucrania y el aeropuerto más grande.

No es la primera vez que los hackers han comprometido los sistemas de actualización automática para introducir el malware, aunque el ataque generalmente se ha restringido a estados nacionales. En 2012, el malware Flame comprometió el proceso de actualización de Windows para introducir el malware en Irán, una operación que muchos han atribuido al gobierno de Estados Unidos. Un ataque de 2013 a los bancos y estaciones de televisión de Corea del Sur también se extendió a través de sistemas internos de parches comprometidos.

El investigador de seguridad de la NYU, Justin Cappos, quien trabaja en la protección de procedimientos de parches como parte de The Update Framework, dice que los defectos subyacentes son notablemente comunes. Las organizaciones a menudo no pueden verificar actualizaciones o dejar las claves subyacentes insuficientemente protegidas. Al mismo tiempo, comprometer las actualizaciones de software es una de las maneras más poderosas de comprometer un sistema.

«Es como el santo grial para los atacantes», dice Cappos. «Este software está en todas las ordenadores, por lo general se ejecuta con acceso de administrador, hace conexiones salientes que tienden a ser cifradas y evita cualquier firewall que tenga».

Las soluciones al ataque del virus

El equipo especializado en detección ciberataques del Gobierno español (CERTSI) ha difundido cómo está siendo el ciberataque y los equipos afectados. Según su información, el virus implicado es Petya o Petwrap y los recusos afectados los equipos con sistemas Windows.

Se está produciendo una infección de equipos con sistemas Windows en diferentes organizaciones, por un malware del tipo ransomware y de la familia conocida como Petya o Petrwrap, y solicitando un pago a través de bitcoin de 300 dólares.

Medidas preventivas

Se recomienda tomar las siguientes medidas preventivas:

• Mantener sus equipos actualizados tanto su sistema operativo como otro software instalado.
• No abrir ficheros descargados de Internet o recibidos por correo electrónico de fuentes no confiables.
• Realizar copias de seguridad de sus ficheros.
• Mantenerse al tanto de las últimas informaciones que puedan publicarse sobre esta oleada.

La infección se está produciendo a través de equipos con sistemas Windows en diferentes organizaciones, y afectando especialmente a Ucrania.

Este tipo de ransomware se suele propagar simplemente al abrir un correo electrónico o un archivo adjunto o con la instalación de un programa en el ordenador. Ante un ataque de semejantes dimensiones lo primero que hay que hacer es aislar los sistemas, después hay que analizar el malware y ver cómo se propaga, lo cual puede llevar un tiempo considerable