El 27 de junio de 2017 comenzó una serie de poderosos ciberataques que utilizaban el malware Petya que inundaron los sitios web de organizaciones ucranianas , incluidos bancos, ministerios, periódicos y empresas de electricidad. [10] Se informaron infecciones similares en Francia , Alemania , Italia , Polonia , Rusia , Reino Unido , Estados Unidos y Australia . [3] [11] [12] ESET estimó el 28 de junio de 2017 que el 80% de todas las infecciones estaban en Ucrania, siendo Alemania el segundo país más afectado con alrededor del 9%. [2] El 28 de junio de 2017, el gobierno ucraniano declaró que el ataque se había detenido. [13] El 30 de junio de 2017, Associated Press informó que los expertos coincidieron en que Petya se hacía pasar por ransomware , mientras que en realidad estaba diseñado para causar el máximo daño, siendo Ucrania el objetivo principal. [14]
Los expertos en seguridad creen que el ataque se originó a partir de una actualización de un paquete de contabilidad fiscal ucraniano llamado MeDoc , desarrollado por Intellect Service. [2] MeDoc era ampliamente utilizado entre los contables fiscales en Ucrania, [15] y el software era la principal opción para la contabilidad de otras empresas ucranianas, según Mikko Hyppönen , un experto en seguridad de F-Secure . [2] MeDoc tenía alrededor de 400.000 clientes en Ucrania, lo que representa alrededor del 90% de las empresas nacionales del país, [8] y antes del ataque estaba instalado en aproximadamente 1 millón de computadoras en Ucrania. [16]
MeDoc proporciona actualizaciones periódicas de su programa a través de un servidor de actualizaciones. El día del ataque, el 27 de junio de 2017, el servidor de actualizaciones envió una actualización para MeDoc, tras lo cual comenzó a aparecer el ataque de ransomware. El experto británico en malware Marcus Hutchins afirmó: "Parece que el sistema de actualización automática del software se vio comprometido y se utilizó para descargar y ejecutar malware en lugar de actualizaciones para el software". [2] La empresa que produce MeDoc afirmó que no tuvo ninguna participación intencional en el ataque de ransomware, ya que sus oficinas informáticas también se vieron afectadas, y están cooperando con las fuerzas del orden para rastrear el origen. [15] [17] Un ataque similar a través del software MeDoc se llevó a cabo el 18 de mayo de 2017 con el ransomware XData. Cientos de departamentos de contabilidad se vieron afectados en Ucrania. [18]
El ciberataque se basó en una versión modificada del ransomware Petya . Al igual que el ataque del ransomware WannaCry en mayo de 2017, Petya utiliza el exploit EternalBlue descubierto previamente en versiones anteriores del sistema operativo Microsoft Windows . Cuando se ejecuta Petya, encripta la tabla maestra de archivos del disco duro y obliga a la computadora a reiniciarse. Luego muestra un mensaje al usuario, diciéndole que sus archivos ahora están encriptados y que envíe US$300 en bitcoin a una de las tres billeteras para recibir instrucciones para desencriptar su computadora. Al mismo tiempo, el software explota el protocolo Server Message Block en Windows para infectar computadoras locales en la misma red y cualquier computadora remota que pueda encontrar. Además, se descubrió que el software NotPetya usaba una variante de Mimikatz , un exploit de prueba de concepto encontrado en 2011 que demostraba que las contraseñas de los usuarios se habían retenido en la memoria de la computadora dentro de Windows, explotando estas contraseñas para ayudar a propagarse a través de las redes. [19]
El exploit EternalBlue ya había sido identificado y Microsoft emitió parches en marzo de 2017 para acabar con el exploit para Windows Vista , Windows 7 , Windows 8.1 , Windows 10 , Windows Server 2008 , Windows Server 2012 y Windows Server 2016. Sin embargo, el ataque WannaCry progresó a través de muchos sistemas informáticos que todavía utilizaban sistemas operativos Windows más antiguos o versiones anteriores de los más nuevos, que todavía tenían el exploit, o que los usuarios no habían tomado las medidas para descargar los parches. Microsoft emitió nuevos parches para Windows XP , Windows Server 2003 y Windows 8 el día después del ataque WannaCry. La experta en seguridad Lesley Carhart afirmó que "todos los métodos de explotación que el ataque utilizó para propagarse eran prevenibles por medios bien documentados". [20]
Los expertos en seguridad descubrieron que la versión de Petya utilizada en los ciberataques de Ucrania había sido modificada y, en consecuencia, se le cambió el nombre a NotPetya o Nyetna para distinguirla del malware original. NotPetya encriptó todos los archivos de las computadoras infectadas, no solo la tabla maestra de archivos, y en algunos casos los archivos de la computadora se borraron por completo o se reescribieron de una manera que no se podía deshacer mediante el descifrado. [21] [22] Algunos expertos en seguridad vieron que el software podía interceptar contraseñas y realizar acciones a nivel de administrador que podrían arruinar aún más los archivos de la computadora. También notaron que el software podía identificar sistemas informáticos específicos y evitar la infección de esos sistemas, lo que sugiere que el ataque tenía un objetivo más quirúrgico. [20] A diferencia del software WannaCry, nunca se encontró un " interruptor de apagado " en NotPetya, que podría haberse utilizado para detener inmediatamente su propagación. [23] Según Nicholas Weaver de la Universidad de California, los piratas informáticos habían comprometido previamente MeDoc "lo convirtieron en un troyano de control remoto, y luego estaban dispuestos a quemar este activo para lanzar este ataque". [8]
Durante el ataque, el sistema de monitoreo de radiación en la Planta Nuclear de Chernóbil en Ucrania se desconectó. [24] Varios ministerios, bancos, sistemas de metro y empresas estatales de Ucrania ( Aeropuerto Internacional de Boryspil , Ukrtelecom , Ukrposhta , Banco de Ahorros Estatal de Ucrania , Ferrocarriles Ucranianos ) fueron afectados. [25] En las computadoras infectadas, se sobrescribieron archivos informáticos importantes y, por lo tanto, se dañaron permanentemente, a pesar del mensaje que mostraba el malware al usuario indicando que todos los archivos podían recuperarse "de manera segura y sencilla" cumpliendo con las demandas de los atacantes y realizando el pago solicitado en moneda Bitcoin . [26]
Se cree que el ataque probablemente tenía como objetivo paralizar al estado ucraniano en lugar de tener fines monetarios. [15] El ataque se produjo en vísperas del feriado público ucraniano , el Día de la Constitución (que celebra el aniversario de la aprobación por la Verjovna Rada (el parlamento de Ucrania) de la Constitución de Ucrania el 28 de junio de 1996). [27] [28] [29] La mayoría de las oficinas gubernamentales estarían vacías, lo que permitiría que el ciberataque se propagara sin interferencias. [15] Además, algunos expertos en seguridad vieron que el ransomware se dedicaba a borrar los discos duros afectados en lugar de cifrarlos, lo que sería un desastre adicional para las empresas afectadas por esto. [15]
Poco tiempo antes de que comenzara el ciberataque, se informó que un alto oficial de inteligencia y jefe de una unidad de destacamento de fuerzas especiales de la Dirección General de Inteligencia de Ucrania , el coronel Maksym Shapoval , fue asesinado en Kiev por un coche bomba. [30] La ex asesora del gobierno en Georgia y Moldavia, Molly K. McKew, creía que este asesinato estaba relacionado con el ciberataque. [31]
El 28 de junio de 2017, el gobierno ucraniano declaró que el ataque había sido detenido: "La situación está bajo completo control de los especialistas en seguridad cibernética, que ahora están trabajando para restaurar los datos perdidos". [13]
Tras el ataque inicial del 27 de junio, los expertos en seguridad descubrieron que el código que había infectado la actualización de MEDoc tenía una puerta trasera que podría usarse potencialmente para lanzar otro ciberataque. Al ver señales de otro ciberataque, la policía ucraniana allanó las oficinas de MeDoc el 4 de julio de 2017 y confiscó sus servidores. El director ejecutivo de MeDoc declaró que no sabían que se había instalado una puerta trasera en sus servidores, volvió a refutar su participación en el ataque y estaban trabajando para ayudar a las autoridades a identificar la fuente. [16] [32] La empresa de seguridad ESET descubrió que la puerta trasera se había instalado en el servicio de actualización de MeDoc ya el 15 de mayo de 2017, mientras que los expertos del grupo Talos de Cisco Systems encontraron evidencia de la puerta trasera ya en abril de 2017; cualquiera de las dos situaciones apunta al ciberataque como una "operación completamente bien planificada y bien ejecutada". [33] Los funcionarios ucranianos han declarado que Intellect Service "enfrentará responsabilidad penal", ya que las empresas antivirus les advirtieron previamente sobre la seguridad laxa en sus servidores antes de estos eventos, pero no tomaron medidas para evitarlo. [34] Talos advirtió que debido al gran tamaño de la actualización de MeDoc que contenía el malware NotPetya (1,5 gigabytes), es posible que haya otras puertas traseras que aún no han encontrado, y podría ser posible otro ataque. [33]
El 30 de junio, el Servicio de Seguridad de Ucrania (SBU) informó que había confiscado el equipo que se había utilizado para lanzar el ciberataque, afirmando que pertenecía a agentes rusos responsables de lanzar el ataque. [35] El 1 de julio de 2017, el SBU afirmó que los datos disponibles mostraban que los mismos autores que en Ucrania en diciembre de 2016 atacaron el sistema financiero, el transporte y las instalaciones energéticas de Ucrania (utilizando TeleBots y BlackEnergy ) [36] eran los mismos grupos de piratas informáticos que atacaron Ucrania el 27 de junio de 2017. "Esto da testimonio de la participación de los servicios especiales de la Federación de Rusia en este ataque", concluyó. [7] [37] (Un ciberataque de diciembre de 2016 a una computadora estatal de energía ucraniana causó un corte de energía en la parte norte de la capital, Kiev). [7] Las relaciones entre Rusia y Ucrania se encuentran congeladas desde la anexión de Crimea en 2014, seguida de una insurgencia separatista apoyada por el gobierno ruso en el este de Ucrania, en la que más de 10.000 personas habían muerto a fines de junio de 2017. [7] (Rusia ha negado repetidamente el envío de tropas o equipo militar al este de Ucrania ). [7] Ucrania afirma que el hackeo de las instituciones estatales ucranianas es parte de lo que ellos describen como una " guerra híbrida " de Rusia contra Ucrania. [7]
El 30 de junio de 2017, la empresa de seguridad cibernética ESET afirmó que el grupo Telebots (que según ellos tenía vínculos con BlackEnergy) estaba detrás del ataque: "Antes del brote, el grupo Telebots apuntaba principalmente al sector financiero. El último brote estaba dirigido contra empresas en Ucrania, pero aparentemente subestimaron las capacidades de propagación del malware. Es por eso que el malware se salió de control". [7] ESET había informado anteriormente que BlackEnergy había estado apuntando a la infraestructura cibernética ucraniana desde 2014. [38] En diciembre de 2016, ESET había concluido que TeleBots había evolucionado a partir de los piratas informáticos de BlackEnergy y que TeleBots había estado utilizando ciberataques para sabotear el sector financiero ucraniano durante la segunda mitad de 2016. [39]
En torno al momento del ataque a MeDoc del 4 de julio, se habían recaudado los 10.000 dólares en bitcoins que ya estaban en las carteras de NotPetya, y los expertos creían que se habían utilizado para comprar espacio en la red anónima Tor . Un mensaje publicado allí supuestamente de los autores de NotPetya exigía 100.000 bitcoins (unos 2,6 millones de dólares) para detener el ataque y descifrar todos los archivos afectados. [16] El 5 de julio de 2017, un segundo mensaje supuestamente de los autores de NotPetya se publicó en un sitio web de Tor , exigiendo a quienes desearan descifrar sus archivos que enviaran 100 bitcoins (aproximadamente 250.000 dólares). El mensaje estaba firmado con la misma clave privada utilizada por el ransomware original Petya, lo que sugiere que el mismo grupo era responsable de ambos. [40]
Según informes citados en enero de 2018, la Agencia Central de Inteligencia de los Estados Unidos afirmó que Rusia estaba detrás del ciberataque y que la Dirección Principal de Inteligencia de Rusia (GRU) había diseñado NotPetya. [41] De manera similar, el Ministerio de Defensa del Reino Unido acusó a Rusia en febrero de 2018 de lanzar el ciberataque y de que, al atacar los sistemas en Ucrania, el ciberataque se propagaría y afectaría a los principales sistemas en el Reino Unido y en otros lugares. Rusia había negado su participación, señalando que los sistemas rusos también se vieron afectados por el ataque. [42]
El escritor de tecnología de Wired, Andy Greenberg , al revisar la historia de los ciberataques, dijo que los ataques vinieron de un grupo de hackers militares rusos llamado "Sandworm". Greenberg afirmó que Sandworm estaba detrás de los apagones de 2016 en Kiev, entre otros eventos. El grupo se había centrado en piratear el sector financiero de Ucrania y, en algún momento a principios de 2017, había podido obtener acceso a los servidores de actualización de ME Doc, de modo que pudiera usarse maliciosamente para enviar el ciberataque en junio de 2017. [19]
Las empresas afectadas incluyen Antonov , Kyivstar , Vodafone Ucrania , lifecell , los canales de televisión STB , ICTV y ATR , Kyiv Metro , UkrGasVydobuvannya (UGV) , las estaciones de servicio WOG , DTEK , EpiCentre K , el Aeropuerto Internacional de Kyiv (Zhuliany) , Prominvestbank , Ukrsotsbank , KredoBank , Oshchadbank y otras, [13] con más de 1.500 entidades legales y personas que se comunicaron con la Policía Nacional de Ucrania para indicar que habían sido víctimas del ciberataque del 27 de junio de 2017. [43] Oshchadbank volvió a estar completamente funcional el 3 de julio de 2017. [44] Las computadoras de la compañía eléctrica de Ucrania también se desconectaron debido al ataque; pero la compañía continuó operando completamente sin usar computadoras. [8]
Si bien más del 80% de las empresas afectadas eran de Ucrania, [ necesita actualización ] el ransomware también se extendió a varias empresas en otras geolocalizaciones, debido a que esas empresas tenían oficinas en Ucrania y redes en todo el mundo. Las empresas no ucranianas que informaron incidentes relacionados con el ataque incluyen al procesador de alimentos Mondelez International , [45] la subsidiaria APM Terminals de la compañía naviera internacional AP Moller-Maersk , la subsidiaria de envíos FedEx TNT Express (en agosto de 2017 sus entregas todavía se interrumpieron debido al ataque), [46] la compañía naviera china COFCO Group , la compañía francesa de materiales de construcción Saint Gobain , [47] la agencia de publicidad WPP plc , [48] Heritage Valley Health System de Pittsburgh , [49] la firma de abogados DLA Piper , [50] la compañía farmacéutica Merck & Co. , [51] el fabricante de bienes de consumo Reckitt Benckiser y el proveedor de software Nuance Communications . [52] Un oficial de policía ucraniano cree que el ataque de ransomware fue diseñado para volverse global y así desviar la atención del ciberataque dirigido a Ucrania. [53]
El costo del ciberataque aún no se había determinado, ya que, después de una semana de su ataque inicial, las empresas todavía estaban trabajando para mitigar el daño. Reckitt Benckiser redujo sus estimaciones de ventas en un 2% (alrededor de $ 130 millones) para el segundo trimestre principalmente debido al ataque que afectó a su cadena de suministro global. [52] [54] Tom Bossert , el asesor de Seguridad Nacional del Presidente de los Estados Unidos, declaró que el daño total fue de más de US $ 10 mil millones . [19] Entre los daños estimados a empresas específicas se incluyen más de US $ 870 millones a Merck, US $ 400 millones a FedEx, US $ 384 millones a Saint-Gobain y US $ 300 millones a Maersk. [19]
El secretario del Consejo de Seguridad Nacional y Defensa de Ucrania, Oleksandr Turchynov, afirmó que había señales de participación rusa en el ciberataque del 27 de junio, aunque no proporcionó ninguna prueba directa. [55] Los funcionarios rusos han negado cualquier participación, calificando las afirmaciones de Ucrania de "acusaciones generales infundadas". [35] El secretario general de la OTAN, Jens Stoltenberg, prometió el 28 de junio de 2017 que la OTAN seguiría apoyando a Ucrania para fortalecer su ciberdefensa . [56] El secretario de prensa de la Casa Blanca publicó un comunicado el 15 de febrero de 2018 atribuyendo el ataque al ejército ruso, calificándolo de "el ciberataque más destructivo y costoso de la historia". [57]
El empresario de TI y presidente del consejo de supervisión de la empresa Oktava Capital, Oleksandr Kardakov, propuso crear una ciberdefensa civil en Ucrania. [58]
{{cite news}}: CS1 maint: varios nombres: lista de autores ( enlace )