Ciberataques en Ucrania de 2017

serie de ataques cibernéticos de ransomware contra instituciones y empresas ucranianas
(Redirigido desde «Ciberataques en Ucrania del 2017»)

Los Ciberataques en Ucrania de 2017 (en ucraniano: Кібернапади в Україні 2017) refiere a una serie de ciberataques que empezaron el 27 de junio de 2017, empleando el malware Petya que inundó varios sitios web de instituciones y empresas ucranianas, incluyendo bancos, ministerios, diarios y empresas de electricidad.[7]​ 

Ciberataques en Ucrania de 2017

Aviso de Petya en un computador comprometido
Localización
País Bandera de Ucrania Ucrania[1]
Localidad Ucrania, Estados Unidos, Rusia, Polonia, Francia, Italia, India, Alemania, Reino Unido y España
Datos generales
Tipo Ciberataque
Organizador Bandera de Rusia Rusia (según declaraciones de las autoridades ucranianas, el estadounidense Michael N. Schmitt y la CIA)[2][3][4][5][6]
Causa Malware, ransomware, ciberterrorismo
Histórico
Fecha 27-28 de junio de 2017
Desenlace
Resultado Afectados varios ministerios, bancos, sistemas de metro y empresas estatales de Ucrania.

Se recibieron reportes de infecciones similares de Francia, Alemania, Italia, Polonia, Rusia, Reino Unido, Estados Unidos y Australia.[8][9][10]

El 28 de junio de 2017, ESET estimó que 80% de todas las infecciones procedían de Ucrania, siguiéndole Alemania con aproximadamente un 9% de las infecciones.[11]​ El 28 de junio de 2017, el gobierno ucraniano declaró que el ataque fue frenado. El 30 de junio de 2017, la Associated Press informó que los expertos concluyeron que Petya se había hecho pasar por un ransomware, mientras que realmente había sido diseñado para causar un gran daño, siendo Ucrania el objetivo principal.[12]

Origen

editar

Los expertos de seguridad informática creen que el ataque se originó a partir de una actualización de un paquete de contabilidad ucraniano desarrollado por Intellect Service, llamado MeDoc.

Este programa era ampliamente utilizado entre contables de impuestos en Ucrania, y el software era la opción principal para contabilidad para varios negocios ucranianos.

Según Mikko Hyppönen, un experto de seguridad de F-Secure. MeDoc tenía aproximadamente 400.000 clientes a lo largo de Ucrania, representando aproximadamente 90% de las empresas domésticas del país. Previo al ataque, el software estaba instalado en cerca de un millón de ordenadores en Ucrania.[13][14]

El programa proporciona actualizaciones periódicas a su programa a través de un servidor de actualización, por lo que el 27 de junio de 2017, el día del ataque, una actualización para MeDoc fue enviada por el servidor de actualización, tras lo cual empezó el ataque del ransomware.

El experto en malware británico Marcus Hutchins, reclamó:

Parece ser que el sistema de actualización automático del software fue infectado y utilizado para descargar y ejecutar malware en vez de actualizaciones para el software
It appears that the software's automatic update system was infected and used to download and run malware instead of software updates

Intellect Services afirmó no haber tenido involucración alguna en el ataque del ransomware, puesto que sus oficinas fueron también afectadas, y estaban cooperando con el gobierno para rastrear el origen del ataque.[15]​ 

Un ataque similar a través del software MeDoc se llevó a cabo el 18 de mayo de 2017 con un ransomware llamado XData. Centenares de departamentos de contabilidad se vieron afectados en Ucrania.[16]

Ciberataque

editar

El ciberataque se basó en una versión modificada del ransomware Petya llamado NotPetya, y el cual era similar al ataque del ransomware WannaCry en mayo de 2017.

El Malware

editar

El malware utiliza el exploit EternalBlue creado por la NSA, que había sido anteriormente descubierto en versiones más viejas del sistema operativo Windows.

Cuando Petya es ejecutado, fuerza al ordenador a reiniciarse con una pantalla BSoD y minutos mas tarde, muestra un falso CHKDSK (Mientras el falso proceso esta en funcionamiento, el virus cifra la Tabla Maestra de Archivos del disco duro y el MBR).

Luego de ese falso CHKDSK, se desplegará una pantalla parpadeante con una calavera con el texto “PRESS ANY KEY!” y, finalmente mostrando el mensaje de rescate (En el cual se dice que sus archivos están ahora cifrados y debe transferir 300 dólares estadounidenses en bitcoin a una de sus tres carteras y así recibir instrucciones para poder descifrar los archivos.)

Al mismo tiempo, el software explota una vulnerabilidad del protocolo SMB en Windows para infectar ordenadores locales que esten conectado a la misma red del ordenador comprometido.

Parche de Microsoft

editar

El exploit EternalBlue había sido anteriormente identificado, y Microsoft emitió parches en marzo de 2017 para acabar con el exploit en las versiones de Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012, y Windows Server 2016.

No obstante, el ataque WannaCry infectó muchos sistemas que todavía usaban antiguos sistemas operativos Windows o versiones tempranas de los sistemas operativos más nuevos que todavía poseían el exploit, o aquellos en los que los usuarios no habían seguido los pasos apropiados para descargar el parche. Microsoft emitió nuevos parches para Windows XP y Windows Server 2003 así como versiones anteriores de los otros sistemas operativos el día siguiente al ataque del WannaCry. Lesley Carhart, experto de seguridad, declaró que "cada método de explotación que el ataque utilizó para propagarse podía haberse prevenido con la documentación adecuada".[17]

Expertos de seguridad habían descubierto que la versión de Petya utilizado en los ciberataques en Ucrania había sido modificado, por lo que fue denominado NotPetya o Nyetna para distinguirlo del malware original. NotPetya cifró todo los archivos de los ordenadores infectados, no solo la Tabla Maestra de Archivos, y en algunos casos dichos archivos fueron completamente eliminados o reescritos de forma tal que no podían ser revertidos los cambios.[18][19]​ Algunos expertos de seguridad observaron que el software podía interceptar contraseñas y realizar acciones sin necesidad de permisos del administrador que podrían dañar completamente los archivos del ordenador. También notaron que el software podía identificar ordenadores concretos e infectarlos, sugiriendo que el ataque era más preciso en sus objetivos. Todavía falta por descubrir un "interruptor de apagado", como el que tenía WannaCry, que parase inmediatamente la propagación.[20]​ Según Nicholas Weaver de la Universidad de California, los piratas informáticos primero debieron haber infectado MeDoc convirtiéndolo en una especie de troyano de control remoto para luego iniciar los ataques.

Referencias

editar
  1. Rothwell, James; Titcomb, James; McGoogan, Cara (27 de junio de 2017). «Petya cyber attack: Ransomware spreads across Europe with firms in Ukraine, Britain and Spain shut down». The Daily Telegraph. Archivado desde el original el 16 de febrero de 2018. Consultado el 5 de abril de 2018. 
  2. «Oleksandr Turchynov: One of the mechanisms for spreading a dangerous computer virus was a system for updating the accounting software – National Security and Defense Council of Ukraine». RNBO. Archivado desde el original el 19 de octubre de 2017. Consultado el 30 de junio de 2017. 
  3. «SBU establishes involvement of the RF special services into Petya.A virus-extorter attack». Security Service of Ukraine. Archivado desde el original el 19 de octubre de 2017. Consultado el 4 de julio de 2017. 
  4. Error en la cita: Etiqueta <ref> no válida; no se ha definido el contenido de las referencias llamadas SBU 1 July 2017
  5. Borys, Christian (26 de julio de 2017). «Ukraine braces for further cyber-attacks». BBC News (en inglés británico). Archivado desde el original el 26 de julio de 2017. Consultado el 26 de julio de 2017. 
  6. Russian military was behind ‘NotPetya’ cyberattack in Ukraine, CIA concludes Archivado el 13 de enero de 2018 en Wayback Machine. Washington Post, 2018
  7. Prentice, Alessandra (27 de junio de 2017). «Ukrainian banks, electricity firm hit by fresh cyber attack». Reuters. Consultado el 27 de junio de 2017. 
  8. Scott, Nicole Perlroth, Mark; Frenkel, Sheera (27 de junio de 2017). «Cyberattack Hits Ukraine Then Spreads Internationally». The New York Times (en inglés estadounidense). ISSN 0362-4331. Consultado el 4 de julio de 2017. 
  9. Turner, Giles; Verbyany, Volodymyr; Kravchenko, Stepan (27 de junio de 2017). «New Cyberattack Goes Global, Hits WPP, Rosneft, Maersk». Bloomberg. Consultado el 27 de junio de 2017. 
  10. «Global ransomware attack causes chaos». BBC News. 27 de junio de 2017. Consultado el 27 de junio de 2017. 
    Burgess, Matt. «There's another 'worldwide' ransomware attack and it's spreading quickly». Wired UK. Consultado el 27 de junio de 2017. 
  11. «Tax software blamed for cyber-attack spread». BBC News. 28 de junio de 2017. Consultado el 28 de junio de 2017. 
  12. «Companies still hobbled from fearsome cyberattack». Associated Press. 30 de junio de 2017. Consultado el 3 de julio de 2017. 
  13. Kramer, Andrew (28 de junio de 2017). «Ukraine Cyberattack Was Meant to Paralyze, not Profit, Evidence Shows». The New York Times. Consultado el 29 de junio de 2017. 
  14. Satter, Raphael (5 de julio de 2017). «Ukraine says it foiled 2nd cyberattack after police raid». Associated Press. Consultado el 5 de julio de 2017. 
  15. Frenkel, Sheera (27 de junio de 2017). «Global Ransomware Attack: What We Know and Don’t Know». The New York Times. Consultado el 28 de junio de 2017. 
  16. «Все, что известно про вирус-вымогатель XData: кто под угрозой и что делать» (en russian). 24 de mayo de 2017. Consultado el 29 de junio de 2017. 
  17. Borys, Christian (4 de julio de 2017). «The day a mysterious cyber-attack crippled Ukraine». BBC. Consultado el 8 de julio de 2017. 
  18. Polityuk, Pavel (29 de junio de 2017). «Global cyber attack likely cover for malware installation in Ukraine: police official». Reuters. Consultado el 29 de junio de 2017. 
  19. Petroff, Alanna (30 de junio de 2017). «Experts: Global cyberattack looks more like 'sabotage' than ransomware». CNN. Consultado el 30 de junio de 2017. 
  20. Petroff, Alanna (28 de junio de 2017). «Europol: There's no 'kill switch' for malware attack». CNN. Consultado el 30 de junio de 2017.