Hace dos semanas, una ola global de ataques cibernéticos provocó interrupciones en las operaciones de bancos, empresas y el aeropuerto de Ucrania, al igual que en varias empresas de todo el mundo, como la petrolera rusa Rosneft, la filial estadounidense de la farmacéutica Merck o la firma de publicidad WPP.

NOTICIA: Una nueva ola de ransomware se esparce por el mundo

Inicialmente el ataque se reportó como un brote de Petya, un ransomware que cifra la información de las computadoras infectadas y pide el pago de un rescate para descifrarla. Pero esta nueva versión tenía una sintomatología similar a WannCry por su modo de propagación en redes corporativas, que aprovecha las vulnerabilidades en sistemas Windows usadas por la Agencia de Seguridad Nacional (NSA) de Estados Unidos en sus programas de espionaje y que fueron divulgadas por el grupo TheShadowBrokers.

Para diferenciarlo, el ataque fue bautizado como NotPetya, ExPetr o Nyetya, pero se convirtió en un caso de estudio para los investigadores de seguridad informática al ser el primero que utiliza el ransomware como un disfraz para su objetivo real, el sabotaje, una hipótesis reportada previamente por El Economista.

Dmitry Bestuzhev, director del Equipo de Investigación y Análisis de la firma de ciberseguridad Kaspersky Lab para América Latina, explicó además que este ataque puso en riesgo el negocio del ransomware ya que, al analizar el código del malware se detectó que no existen mecanismos para descifrar la información, lo que imposibilita la recuperación de los datos. Sin la certeza de que las víctimas de un ransomware pueden recuperar la información, la opción de pagar un rescate resulta menos atractiva.

No lo habíamos visto antes que el ransomware se utilice como una especie de cortina de humo. El que esto haya pasado es un tanto positivo porque ahora la gente va a cuestionar si la rutina de cifrado no permite el descifrado. Entró la fisura en todo el negocio del ransomware. Ya sabemos que en el caso de NotPetya es imposible de descifrar y desde el punto de vista de futuras víctimas de ransomware legítimo, van a dudar sobre el pago , dijo a El Economista.

NOTICIA: ¿Cuál es la estrategia para proteger la información de Cisco?

De acuerdo con estimaciones del FBI del 2016, el ransomware se convirtió en una industria de 1,000 millones de dólares con crecimiento exponencial. La firma de ciberseguridad Symantec calcula que el costo promedio del rescate por cada ataque de ransomware ascendió a los 1,077 dólares en 2016, un crecimiento de 266% desde el 2015. Kaspersky Lab calcula que los incidentes de seguridad cuestan a las organizaciones industriales hasta 497,000 dólares anuales.

Bestuzhev, de Kaspersky Lab observó señales de preocupación de los cibercriminales que incursionan en la industria del ransomware cuando el creador de la primera versión de Petya hizo públicas las claves de descifrado para ayudar a las víctimas de NotPetya a recuperar su información y evitar el impacto en futuros ataques de extorsión.

Similar a una operación militar

NotPetya se distribuyó inicialmente a través de una actualización al software ME Doc, utilizado masivamente para la contabilidad empresarial y sistemas tributarios de Ucrania, que estaba comprometida con el malware. La empresa de seguridad informática ESET atribuyó el ataque al grupo TeleBots, presuntamente respaldado por Rusia, quienes tuvieron acceso al código fuente del software para implantar el ataque.

El grupo (TeleBots) montó ciberataques contra varios sistemas informáticos en Ucrania; sistemas que pueden definirse como infraestructura crítica. Además, este grupo tiene conexiones con el infame grupo BlackEnergy que fue responsable de los cortes de energía de diciembre de 2015 en Ucrania , explicó Anton Cherepanov, investigador senior de Eset, en el blog de la compañía We Live Security.

Bestuzhev, de Kaspersky Lab, reconoce que detrás del ataque de NotPetya no están ni cibercriminales con motivos financieros ni hacktivistas, sino grupos paramilitares o grupos financiados por algún Estado y que podrían trabajar por proyectos. E incluso encuentra una similitud del modus operandi con las acciones militares en los campos de batalla.

NOTICIA: La ciberseguridad, en el centro del mundo autónomo y conectado

El tema de ransomware ha sido utilizado como cortina de humo y en las operaciones militares esto suele pasar. Se comienza el hostigamiento por artillería, están disparando y todo el mundo está luchando por sobrevivir, y en ese momento puede suceder otra operación militar como una invasión , dijo.

En el caso de NotPetya, la actuación fue con un esquema conocido como wiper, que borra definitivamente la información de los discos duros, y que es usada comúnmente en los ataques cibernéticos de Medio Oriente.

En el Medio Oriente ellos aman los wiper, viven creando los wiper. Empresas muy grandes de petróleo han sido atacadas muchas veces con wipers y debemos entender que dentro de las operaciones de las ciberofensivas de espionaje puede haber también acciones de sabotaje, que siempre persiguen el fin de destrucción, causar un impacto físico a través del Internet , señaló Bestuzhev.

El impacto en México, un enigma por el silencio

A diferencia de WannaCry que se esparció libremente por Internet, la propagación del ataque NotPetya se realizó a través de los equipos conectados en las redes internas de las organizaciones infectadas. Esto fue un factor por lo que las empresas de países como México no reportaran infecciones, de acuerdo con expertos de las firmas de ciberseguridad.

Extraoficialmente, El Economista tuvo conocimiento de dos empresas multinacionales de origen europeo que detuvieron operaciones en el país, aunque pidieron que se reservara su identidad. Pero la falta de una cultura de divulgación hace complicado conocer la magnitud real de un ciberataque como NotPetya o incluso WannaCry.

NOTICIA: Ciberataque golpea a Rosneft y a servicios en Ucrania

Desgraciadamente no existe una fuente de confianza en México que nos permita tener datos certeros sobre los alcances de los diferentes ataques cibernéticos. Es probable que la cultura de no divulgar que prevalece en los directivos de las empresas mexicanas inhiba el flujo de información a los medios y solamente los casos críticos lleguen a conocerse , dijo Gerardo Jacobo, experto en ataques cibernéticos en la firma INTERprotección, firma especializada en corretaje de seguros.

Bestuzhev, de Kaspersky Lab, también observó que tanto en México como en América Latina persiste un ambiente de falta de cooperación entre víctimas, el sector privado y el sector público para analizar las amenazas y dimensionar los impactos del ataque, aunque aseguró que para el caso de NotPetya, vimos muy pocas las víctimas en México.

[email protected]

erp