Ciberataque Petya 2017

From FdIwiki ELP
Jump to: navigation, search

En junio de 2017, en concreto el día 27, se produjo una serie de ataques cibernéticos ocasionados por el malware Petya. Este fue dirigido directamente a múltiples sitios web de organizaciones de Ucrania, entre ellos, bancos, periódicos e incluso ministerios. No obstante, Ucrania no fue el único país afectado, sino que otros países como Alemania, Austria, Estados Unidos, Francia, Italia, Polonia, Reino Unido y Rusia sufrieron ataques similares. La compañía de seguridad de It, la ESET, estimó que el 80% de los ataques dañó a Ucrania, seguido de Alemania. Al día siguiente, el 28 de junio, el gobierno de Ucrania declaró que habían detenido el ataque producido por Petya.

Cómo se originó el ataque

No se puede afirmar cómo se generó el ataque, pero el equipo de expertos en seguridad cree que se originó por una actualización en uno de los paquetes de MeDoc empleado, sobre todo, para la contabilidad fiscal. El 27 de junio, el propio programa actualizó una versión de forma automática, ya que MeDoc ofrece el servicio de actualizaciones periódicas. En este instante se empezó a expandir el ataque en todas los sistemas que tuviesen dicho paquete. Este malware afectó a tantas empresas debido a que casi el 100% de las empresas nacionales del país usaban MeDoc, cuya propia compañía se vio afectada, pues creían que habían sido ellos los que lanzaron el ataque. No obstante, aseguraron que ellos no fueron porque también sufrieron los efectos de Petya.

El ciberataque se produjo del mismo modo que se había empleado en otras ocasiones por Petya ransomware (tipo de software malicioso que amenaza con publicar los datos de la víctima o bloquear el acceso perpetuamente a él a menos que se pague un rescate), pero con una versión modificada. Utilizaron el mismo mecanismo que en el ataque WannaCry, donde Petya encripta la tabla principal de archivos del disco duro y obliga a que el ordenador se reinicie. Tras ello, muestra un mensaje explicando al usuario que se han encriptado sus archivos y que si quiere recibir las indicaciones para recuperarlos tiene que pagar una cantidad de doláres para invertir en bitcoins. Esto hizo que miles de usuarios invirtieran el dinero que pedían. A la vez, el software va infectando los diferentes ordenadores locales, que están conectados a la misma red.

Tras el ciberataque,los expertos en seguridad lo denominaron NotPetya o Nyetna, debido a que este malware es una versión modifica del Petya. NotPetya cifró todos los archivos en los ordenadores infectados llegando, en algún caso, a borrarlos por completo o reescribiéndolos de forma que no se podía deshacer mediante el descifrado. Además, se dieron cuenta que podía haber capturado contraseñas y haber realizado modificaciones por medio del administrador. A diferencia del ciberataque de WannaCry, no se pudo averiguar el mecanismo que detuviese su propagación.

Acometido

Mientras se propagaba el ataque, el sistema de monitoreo de la radiación de la central nuclera se desconectó, por lo que varios ministerios, sistemas de metro, bancos y miles de empresas ucranianas sufrieron los efectos del malware. Con esto se pudo intuir que el objetivo del ataque no fue por algo monetario, sino que iba dirigido a afectar al estado ucraniano. Una de las causas por las que se intuyó fue porque el ataque se produjo el mismo día que se celebraba el Día de la Constitución, aprovechando que la gran mayoría de las oficinas gubernamentales estaban vacías. Y, sobre todo lo intuyeron porque algunos expertos en seguridad se dieron cuenta que los archivos se borraban inmediatamente, sin encriptarlos.

Además, ese mismo día, horas antes de que se produjera el ataque, Maksym Shapoval, oficial de inteligencia y jefe de una unidad de las fuerzas especiales, fue asesinado por un coche bomba. Con lo que se pensó que podría estar relacionado con el ataque cibernético.

Un día después de lo sucedido, el 28 de junio, el gobierno ucraniano aseguró que los expertos en ciberseguridad habían detenido el ataque y que tras la detención estaban intentando restaurar los datos perdidos.

El 4 de julio del mismo año, la policía ucraniana confiscó los servidores de las oficinasde MeDoc, debido a que habían descubierto que el código que había infectado la actualización tenía una puerta trasera que podría usarse para lanzar otro ataque. En este momento, participaron con las autoridades para identificar la fuente de la que provenía. Sin embargo, la empresa ESET descubrió que la puerta trasera estaba instalada desde el 15 de mayo, y que los expertos de Cisco Systems encontró dicha evidencia en abril. Ambas situaciones apuntabalan a que la oeración estaba planificada. Tras esto, varios funcionarios ucranianos declararon que Intellect Service habían advertido a la compañía sobre la falta de antivirus y de seguridad en sus servidores previamente al ciberataque, y estos no tomaron ninguna medida para evitarlo.

Quién originó el ataque

Al cabo de los meses, el SBU(Servicio de seguridad de Ucrania) afirmó que los hackers que les habían atacado el pasado diciembre del 2016, eran los mismo que habían cometido este ciberataque. Dado que los encargados del primer ataque en el 2016 fueron los rusos, se concluye que fueron estos los que realizaron el ataque. Los ucranianos ven estos ataques como una "guerra híbrida" por parte de Rusia sobre Ucrania.

El 4 de julio, se habían recolectado los miles de bitcoins que los usuarios habían pagado para conseguir sus archivos encriptados. Los expertos creyeron que se habían usado para comprar espacio en red de Tor debido a uno me los mensajes publicados en el mismo, en el cual pedían más bitcoins. Un día después, se publicó otro mensaje en un sitio web de Tor, exigiendo una cantidad más baja. Dado que el mensaje tenía la misma clave privada que el Petya original, se afirmaba que los responsables eran los mismos.

Organismos afectados

Los organismos más afectados fueron miles de empresas como Antonov, Vodafone Ukraine, canales de televisión o Metro de Kiev. Además de las muchas compañías de electricidad, que tuvieron que continuar con sus trabajos sin emplear el uso de ordenadores. No obstante, a parte de las empresas ucranianas, muchas empresas del exterior como FedEx TNT Express o APM Terminals, entre muchas otras, se vieron también muy afectadas por tener oficinas en Ucrania y redes en todo el mundo.

En cuanto a los costes por el ciberataque, no se determinaron debido a que las empresas tras el ataque siguieron con su cometido, intentando verse lo menos afectadas posibles. Sin embargo, muchas compañías redujeron sus ventas.

Ver también