El 27 de junio de 2017 comenzó una serie de potentes ciberataques utilizando el malware Petya que inundaron sitios web de organizaciones ucranianas , incluidos bancos, ministerios, periódicos y empresas de electricidad. [10] Se notificaron infecciones similares en Francia , Alemania , Italia , Polonia , Rusia , Reino Unido , Estados Unidos y Australia . [3] [11] [12] ESET estimó el 28 de junio de 2017 que el 80% de todas las infecciones se produjeron en Ucrania, siendo Alemania el segundo país más afectado con alrededor del 9%. [2] El 28 de junio de 2017, el gobierno ucraniano declaró que el ataque había sido detenido. [13] El 30 de junio de 2017, Associated Press informó que los expertos coincidieron en que Petya se hacía pasar por ransomware , cuando en realidad estaba diseñado para causar el máximo daño, siendo Ucrania el objetivo principal. [14]
Los expertos en seguridad creen que el ataque se originó a partir de una actualización de un paquete de contabilidad fiscal ucraniano llamado MeDoc , desarrollado por Intellect Service. [2] MeDoc fue ampliamente utilizado entre los contadores fiscales en Ucrania, [15] y el software era la principal opción para la contabilidad de otras empresas ucranianas, según Mikko Hyppönen , un experto en seguridad de F-Secure . [2] MeDoc tenía alrededor de 400.000 clientes en toda Ucrania, lo que representa alrededor del 90% de las empresas nacionales del país, [8] y antes del ataque estaba instalado en aproximadamente 1 millón de computadoras en Ucrania. [16]
MeDoc proporciona actualizaciones periódicas de su programa a través de un servidor de actualización. El día del ataque, el 27 de junio de 2017, el servidor de actualización envió una actualización para MeDoc, tras lo cual comenzó a aparecer el ataque de ransomware. El experto británico en malware Marcus Hutchins afirmó: "Parece que el sistema de actualización automática del software se vio comprometido y se utilizó para descargar y ejecutar malware en lugar de actualizaciones del software". [2] La empresa que produce MeDoc afirmó que no tuvo ninguna participación intencional en el ataque de ransomware, ya que sus oficinas informáticas también se vieron afectadas y están cooperando con las autoridades para rastrear el origen. [15] [17] Un ataque similar a través del software MeDoc se llevó a cabo el 18 de mayo de 2017 con el ransomware XData. En Ucrania, cientos de departamentos de contabilidad se vieron afectados. [18]
El ciberataque se basó en una versión modificada del ransomware Petya . Al igual que el ataque de ransomware WannaCry en mayo de 2017, Petya utiliza el exploit EternalBlue descubierto previamente en versiones anteriores del sistema operativo Microsoft Windows . Cuando se ejecuta Petya, cifra la tabla maestra de archivos del disco duro y obliga a la computadora a reiniciarse. Luego muestra un mensaje al usuario, diciéndole que sus archivos ahora están encriptados y que envíe 300 dólares en bitcoins a una de las tres billeteras para recibir instrucciones para descifrar su computadora. Al mismo tiempo, el software explota el protocolo Server Message Block de Windows para infectar ordenadores locales en la misma red y cualquier ordenador remoto que pueda encontrar. Además, se descubrió que el software NotPetya utilizaba una variante de Mimikatz , un exploit de prueba de concepto descubierto en 2011 que demostraba que las contraseñas de los usuarios se habían retenido en la memoria de la computadora dentro de Windows, explotando estas contraseñas para ayudar a difundirse a través de las redes. [19]
El exploit EternalBlue había sido identificado previamente y Microsoft publicó parches en marzo de 2017 para cerrarlo para Windows Vista , Windows 7 , Windows 8.1 , Windows 10 , Windows Server 2008 , Windows Server 2012 y Windows Server 2016 . Sin embargo, el ataque WannaCry avanzó a través de muchos sistemas informáticos que todavía usaban sistemas operativos Windows más antiguos o versiones anteriores de los más nuevos, que todavía tenían el exploit, o que los usuarios no habían tomado las medidas para descargar los parches. Microsoft publicó nuevos parches para Windows XP , Windows Server 2003 y Windows 8 el día después del ataque WannaCry. La experta en seguridad Lesley Carhart afirmó que "todos los métodos de explotación utilizados para difundir el ataque se pudieron prevenir mediante medios bien documentados". [20]
Los expertos en seguridad descubrieron que la versión de Petya utilizada en los ciberataques de Ucrania había sido modificada y, en consecuencia, pasó a llamarse NotPetya o Nyetna para distinguirla del malware original. NotPetya cifró todos los archivos en las computadoras infectadas, no solo la tabla maestra de archivos, y en algunos casos los archivos de la computadora fueron completamente borrados o reescritos de una manera que no se pudo deshacer mediante el descifrado. [21] [22] Algunos expertos en seguridad vieron que el software podía interceptar contraseñas y realizar acciones a nivel de administrador que podrían arruinar aún más los archivos de la computadora. También señalaron que el software podía identificar sistemas informáticos específicos y evitar la infección de esos sistemas, lo que sugiere que el ataque tenía un objetivo más quirúrgico. [20] A diferencia del software WannaCry, nunca se encontró un " interruptor de apagado " en NotPetya, que podría haberse utilizado para detener inmediatamente su propagación. [23] Según Nicholas Weaver de la Universidad de California, los piratas informáticos habían comprometido previamente MeDoc "lo convirtieron en un troyano de control remoto, y luego estaban dispuestos a quemar este activo para lanzar este ataque". [8]
Durante el ataque, el sistema de monitoreo de radiación de la central nuclear de Chernobyl en Ucrania se desconectó. [24] Varios ministerios, bancos, sistemas de metro y empresas estatales de Ucrania ( Aeropuerto Internacional de Boryspil , Ukrtelecom , Ukrposhta , Caja Estatal de Ahorros de Ucrania , Ferrocarriles de Ucrania ) se vieron afectados. [25] En las computadoras infectadas, los archivos informáticos importantes fueron sobrescritos y, por lo tanto, dañados permanentemente, a pesar del mensaje mostrado por el malware al usuario indicando que todos los archivos podían recuperarse "de forma segura y sencilla" cumpliendo con las demandas de los atacantes y realizando el pago solicitado en Moneda Bitcoin . [26]
Se ha considerado que el ataque tenía más como objetivo paralizar al Estado ucraniano que razones monetarias. [15] El ataque se produjo en vísperas del día festivo ucraniano , el Día de la Constitución (que celebra el aniversario de la aprobación por parte de la Verjovna Rada (parlamento de Ucrania) de la Constitución de Ucrania el 28 de junio de 1996). [27] [28] [29] La mayoría de las oficinas gubernamentales estarían vacías, lo que permitiría que el ciberataque se extendiera sin interferencias. [15] Además, algunos expertos en seguridad vieron que el ransomware limpiaba los discos duros afectados en lugar de cifrarlos, lo que sería un desastre adicional para las empresas afectadas por esto. [15]
Poco antes de que comenzara el ciberataque, se informó que un alto oficial de inteligencia y jefe de una unidad de destacamento de fuerzas especiales de la Dirección General de Inteligencia de Ucrania , el coronel Maksym Shapoval , fue asesinado en Kiev por un coche bomba. [30] La ex asesora gubernamental en Georgia y Moldavia Molly K. McKew creía que este asesinato estaba relacionado con el ciberataque. [31]
El 28 de junio de 2017, el gobierno ucraniano declaró que el ataque se había detenido: "La situación está bajo el control total de los especialistas en seguridad cibernética, que ahora están trabajando para restaurar los datos perdidos". [13]
Tras el ataque inicial del 27 de junio, los expertos en seguridad descubrieron que el código que había infectado la actualización de MEDoc tenía una puerta trasera que podría usarse para lanzar otro ciberataque. Al ver indicios de otro ciberataque, la policía ucraniana irrumpió en las oficinas de MeDoc el 4 de julio de 2017 y confiscó sus servidores. El director ejecutivo de MeDoc declaró que no sabían que se había instalado una puerta trasera en sus servidores, refutó nuevamente su participación en el ataque y estaba trabajando para ayudar a las autoridades a identificar la fuente. [16] [32] La empresa de seguridad ESET descubrió que la puerta trasera se había instalado en el servicio de actualización de MeDoc ya el 15 de mayo de 2017, mientras que los expertos del grupo Talos de Cisco Systems encontraron evidencia de la puerta trasera ya en abril de 2017; cualquiera de las dos situaciones apunta al ciberataque como una "operación minuciosamente bien planificada y bien ejecutada". [33] Los funcionarios ucranianos han declarado que Intellect Service "enfrentará responsabilidad penal", ya que las empresas antivirus les advirtieron previamente sobre la falta de seguridad en sus servidores por parte de empresas antivirus antes de estos eventos, pero no tomaron medidas para evitarlo. [34] Talos advirtió que debido al gran tamaño de la actualización de MeDoc que contenía el malware NotPetya (1,5 gigabytes), es posible que aún no hayan encontrado otras puertas traseras y que otro ataque podría ser posible. [33]
El 30 de junio, el Servicio de Seguridad de Ucrania (SBU) informó que había incautado el equipo que se había utilizado para lanzar el ciberataque, afirmando que pertenecía a los agentes rusos responsables de lanzar el ataque. [35] El 1 de julio de 2017, el SBU afirmó que los datos disponibles mostraban que los mismos autores que en Ucrania en diciembre de 2016 atacaron el sistema financiero, el transporte y las instalaciones energéticas de Ucrania (utilizando TeleBots y BlackEnergy ) [36] eran los mismos grupos de hackers que atacó Ucrania el 27 de junio de 2017. "Esto demuestra la participación de los servicios especiales de la Federación Rusa en este ataque", concluyó. [7] [37] (Un ciberataque en diciembre de 2016 a una computadora energética estatal ucraniana provocó un corte de energía en la parte norte de la capital, Kiev). [7] Las relaciones entre Rusia y Ucrania se encuentran congeladas desde la anexión de Crimea por parte de Rusia en 2014, seguida de una insurgencia separatista respaldada por el gobierno ruso en el este de Ucrania en la que más de 10.000 personas habían muerto a finales de junio de 2017. [7] (Rusia ha negó haber enviado tropas o equipo militar al este de Ucrania ). [7] Ucrania afirma que piratear las instituciones estatales ucranianas es parte de lo que describen como una " guerra híbrida " de Rusia contra Ucrania. [7]
El 30 de junio de 2017, la empresa de seguridad cibernética ESET afirmó que el grupo Telebots (que, según afirmaba, tenía vínculos con BlackEnergy) estaba detrás del ataque: "Antes del brote, el grupo Telebots apuntaba principalmente al sector financiero. El último brote estaba dirigido contra empresas en Ucrania, pero aparentemente subestimaron las capacidades de propagación del malware. Por eso el malware se salió de control". [7] ESET había informado anteriormente que BlackEnergy había estado atacando la infraestructura cibernética ucraniana desde 2014. [38] En diciembre de 2016, ESET había llegado a la conclusión de que TeleBots había evolucionado a partir de los piratas informáticos de BlackEnergy y que TeleBots había estado utilizando ciberataques para sabotear el sector financiero ucraniano durante el segundo semestre de 2016. [39]
Alrededor de la época de la redada del 4 de julio en MeDoc, los $10,000 en bitcoins ya recolectados en las billeteras listadas para NotPetya habían sido recolectados, y los expertos creían que se usaron para comprar espacio en la red anónima Tor . Un mensaje publicado allí supuestamente de los autores de NotPetya exigía 100.000 bitcoins (alrededor de 2,6 millones de dólares) para detener el ataque y descifrar todos los archivos afectados. [16] El 5 de julio de 2017, un segundo mensaje supuestamente de los autores de NotPetya fue publicado en un sitio web Tor , exigiendo que aquellos que desearan descifrar sus archivos enviaran 100 bitcoins (aproximadamente $250,000). El mensaje estaba firmado con la misma clave privada utilizada por el ransomware Petya original, lo que sugiere que el mismo grupo era responsable de ambos. [40]
Según informes citados en enero de 2018, la Agencia Central de Inteligencia de los Estados Unidos afirmó que Rusia estaba detrás del ciberataque, y que la Dirección Principal de Inteligencia de Rusia (GRU) había diseñado NotPetya. [41] De manera similar, el Ministerio de Defensa del Reino Unido acusó a Rusia en febrero de 2018 de lanzar el ciberataque, que al atacar sistemas en Ucrania, el ciberataque se extendería y afectaría a los principales sistemas en el Reino Unido y otros lugares. Rusia negó su participación y señaló que los sistemas rusos también se vieron afectados por el ataque. [42]
El escritor de tecnología Wired Andy Greenberg , al revisar la historia de los ciberataques, dijo que los ataques provinieron de un grupo de piratas informáticos militares rusos llamado "Sandworm". Greenberg afirmó que Sandworm estuvo detrás de los apagones de 2016 en Kiev, entre otros eventos. El grupo se había centrado en piratear el sector financiero de Ucrania y, en algún momento a principios de 2017, pudo obtener acceso a los servidores de actualización de ME Doc, para poder utilizarlos de forma maliciosa para enviar el ciberataque en junio de 2017. [19]
Las empresas afectadas incluyen Antonov , Kyivstar , Vodafone Ucrania , lifecell , canales de televisión STB , ICTV y ATR , Metro de Kiev , UkrGasVydobuvannya (UGV) , gasolineras WOG , DTEK , epicentro K , Aeropuerto internacional de Kiev (Zhuliany) , Prominvestbank , Ukrsotsbank , KredoBank , Oshchadbank y otros, [13] y más de 1.500 personas jurídicas y particulares se pusieron en contacto con la Policía Nacional de Ucrania para indicar que habían sido víctimas del ciberataque del 27 de junio de 2017. [43] Oshchadbank volvió a estar en pleno funcionamiento el 3 de julio de 2017. [44] Las computadoras de la compañía eléctrica de Ucrania también se desconectaron debido al ataque; pero la empresa siguió funcionando plenamente sin utilizar ordenadores. [8]
Si bien más del 80% de las empresas afectadas eran de Ucrania, [ necesita actualización ] el ransomware también se propagó a varias empresas en otras ubicaciones geográficas, debido a que esas empresas tienen oficinas en Ucrania y redes en todo el mundo. Las empresas no ucranianas que informaron sobre incidentes relacionados con el ataque incluyen al procesador de alimentos Mondelez International , [45] la filial APM Terminals de la compañía naviera internacional AP Moller-Maersk , la filial de envío de FedEx, TNT Express (en agosto de 2017 sus entregas todavía estaban interrumpidas debido al ataque), [46] compañía naviera china COFCO Group , empresa francesa de materiales de construcción Saint Gobain , [47] agencia de publicidad WPP plc , [48] Heritage Valley Health System de Pittsburgh , [49] bufete de abogados DLA Piper , [50] empresa farmacéutica Merck & Co. , [51] el fabricante de bienes de consumo Reckitt Benckiser y el proveedor de software Nuance Communications . [52] Un oficial de policía ucraniano cree que el ataque de ransomware fue diseñado para globalizarse y distraer la atención del ciberataque dirigido a Ucrania. [53]
El costo del ciberataque aún no se había determinado, ya que, después de una semana de su ataque inicial, las empresas todavía estaban trabajando para mitigar el daño. Reckitt Benckiser redujo sus estimaciones de ventas en un 2% (alrededor de 130 millones de dólares) para el segundo trimestre debido principalmente al ataque que afectó a su cadena de suministro global. [52] [54] Tom Bossert , asesor de Seguridad Nacional del presidente de los Estados Unidos, afirmó que el daño total superó los 10 mil millones de dólares . [19] Entre los daños estimados a empresas específicas se incluyen más de 870 millones de dólares a Merck, 400 millones de dólares a FedEx, 384 millones de dólares a Saint-Gobain y 300 millones de dólares a Maersk. [19]
El secretario del Consejo de Seguridad Nacional y Defensa de Ucrania, Oleksandr Turchynov, afirmó que había indicios de participación rusa en el ciberataque del 27 de junio, aunque no proporcionó ninguna prueba directa. [55] Los funcionarios rusos han negado cualquier implicación, calificando las afirmaciones de Ucrania de "acusaciones generales infundadas". [35] El secretario general de la OTAN , Jens Stoltenberg, prometió el 28 de junio de 2017 que la OTAN continuaría apoyando a Ucrania para fortalecer su ciberdefensa . [56] El Secretario de Prensa de la Casa Blanca emitió un comunicado el 15 de febrero de 2018 atribuyendo el ataque al ejército ruso y calificándolo de "el ciberataque más destructivo y costoso de la historia". [57]
El empresario informático y presidente del consejo de supervisión de la empresa Oktava Capital, Oleksandr Kardakov, propuso crear una ciberdefensa civil en Ucrania. [58]
{{cite news}}: Mantenimiento CS1: varios nombres: lista de autores ( enlace )