Ir a contenido

NUEVO INCIDENTE INFORMÁTICO

Un nuevo ciberataque global insiste en el mismo fallo que el Wannacry

Otro 'ransomware' que altera un programa ya conocido paraliza ordenadores de empresas de medio mundo

Multinacionales del transporte y la alimentación y el Parlamento británico, entre los infectadas

Carmen Jané

El ciberataque que se ha produjo ayer que bloqueó los sistemas informáticos de instituciones y multinacionales. / EFE VÍDEO

Multinacionales del transporte y la logística, el Parlamento británico, empresas petroleras y bancos ucranianos y rusos están entre las primeras víctimas conocidas de un ciberataque mundial con 'ransomware' (software que encripta ordenadores) que amenaza con ser peor que el reciente de Wannacry, que afectó al menos 300.000 máquinas en sus primeras 72 horas, y que se aprovecha del mismo fallo del sistema operativo Windows de Microsoft.

El Centro de Alerta Temprana de Seguridad e Industria (CERTSI) ha confirmado que hay varias multinacionales afectadas en España, aunque ninguna ha reconocido públicamente el ataque, como suele ser habitual. Aunque se han visto afectadas delegaciones españolas de la empresa de transporte de contenedores Maersk, la cristalera Saint Gobain y la cadena de supermercados Auchan. El Parlamento británico también ha sufrido el ataque, así como muchas empresas, infraestructuras y bancos en Ucrania, Rusia, Polonia, Italia, Alemania, Suiza y el Reino Unido. A última hora de la tarde se ha informado ya de los primeros casos en Estados Unidos.

El ministro de Energía, Turismo y Agenda Digital, Álvaro Nadal, ha dicho que el Gobierno ha puesto sobre aviso a las infraestructuras estratégicas ante la nueva amenaza, si bien ha subrayado que en España no tiene, al menos de momento, demasiada relevancia. "Creemos que no va a afectar a usuarios particulares porque ataca una vulnerabilidad que un equipo doméstico ya ha solucionado con las actualizaciones de Windows", afirma Vicente Díaz, analista jefe de Kaspersky en España.

VARIANTE DE PETYA

El responsable del ciberataque es, según Symantec y otras compañías de antivirus, una variante del virus Petya.A o Petrwrap, de cuyo original alertaron el pasado mes de marzo. Se trata de un 'ransomware' que encripta el directorio principal del disco duro del ordenador y reinicia el equipo. Cuando la máquina vuelve a estar en marcha, el virus descarga un archivo que muestra una pantalla con letras rojas que dan un mensaje en inglés sobre el bloqueo de la máquina y que pide 300 dólares en bitcoins. La nueva versión también se autorreplica como Wannacry, con una parte del código en el ordenador del usuario y otra en los servidores, lo que la hace técnicamente mucho más sofisticada, según los primeros análisis. 

Las vías del virus

  • El secuestro de la máquina El 'ransomware' es un tipo de virus informático que se adueña del ordenador del usuario encriptando archivos. En este caso, no encripta archivos uno a uno sino que se hace con el control de todo el disco duro borrando el directorio de control.
  • Pago en bitcoin El bitcoin es una moneda virtual generada por las operaciones de muchos ordenadores en paralelo que se utiliza para transacciones de dudosa índole porque respeta el anonimato de sus dueños.
  • Cotización a la baja Pero aunque del bitcoin no se conozca la identidad del dueño, sí se ve el importe de cada monedero, que va identificado con una clave alfanumérica que es pública. Por eso, Shadow Brokers ya han anunciado que harán los cobros en otra moneda virtual, que oculta también esa cantidad.

La variante, sin embargo, es tan innovadora que en Kaspersky han decidido nombrarla como un nuevo 'ransomware' y la han bautizado como NotPetya. 

ETERNAL BLUE

El virus informático se vale para difundirse del mismo fallo que aprovechaba el Wannacry, lo que indica que muchos administradores de sistemas no han puesto remedio para solucionarlo. Se trata de un problema en Windows que afecta al protocolo de compartición de archivos del sistema operativo, el SMB. El fallo fue descubierto por la filtracion del material que tenía la NSA para espiar a los ciudadanos de todo el mundo y que reveló el ‘caso Snowden’.

Las herramientas, conocidas como Eternal Blue, fueron robadas por un grupo de activistas, Equation Group, que las publicaron para denunciar su existencia. Otro grupo, en este caso llamado Shadow Brokers, se hizo con el kit y se les ha acabado atribuyendo la autoría del Wannacry, aunque algunas fuentes lo ponen en duda. Shadow Brokers, sin embargo, ha anunciado un “servicio de suscripción” al material robado a la NSA o a lo que ellos decidan, según publicaron en un foro de ciberseguridad.

A Wannacry se le pudo frenar porque un informático británico accedió a su código y pudo ver que remitía a una dirección web que además estaba libre. La compró y evitó que el virus se ejecutara en más máquinas. En este caso, Petya.A remite a una dirección de correo electrónico en un servidor gratuito que ya ha sido desactivada.

SISTEMAS SIN ACTUALIZAR

“Parece mentira pero sí, hay empresas que no siguen las recomendaciones de las compañías de seguridad, y luego nos dicen que somos unos pesados”, afirma Rodrigo Jiménez de Val, director técnico de la empresa de seguridad Necsia. “No solo no han actualizado los sistemas para reparar el fallo sino que ni siquiera han instalado en el servidor un script para anular el puerto afectado por EternalCry, algo que se hace en cinco minutos. Que estamos hablando de un fallo que se conoce desde marzo”, añade indignado. 

“Para algunas empresas, actualizar todos los equipos es complicado, porque tienen software muy antiguo sobre el que funcionan programas propietarios que no han actualizado en años”, comenta Josep Albors, analista de la empresa de antivirus Escert, que justifica así que haya afectado a sectores como navieras, gestores de infraestructuras o bancos.

Lo que sí parece es que las empresas han aprendido algunas lecciones del Wannacry y es que de momento no han pagado a los delincuentes que propagan el virus. Este martes a las 19.30 habían recogido poco más de 8.000 euros tras las primeras horas de infección, además en un día en que la cotización del bitcoin ha ido a la baja. Con Wannacry, pese a sus abultadas cifras, los delincuentes solo recogieron unos 40.000 euros.

0 Comentarios
cargando