Ataques de ransomware en Ucrania en 2017


El 27 de junio de 2017 comenzó una serie de poderosos ataques cibernéticos que utilizaron el malware Petya e inundaron los sitios web de organizaciones ucranianas , incluidos bancos, ministerios, periódicos y empresas de electricidad. [10] Se informaron infecciones similares en Francia , Alemania , Italia , Polonia , Rusia , Reino Unido , Estados Unidos y Australia . [3] [11] [12] ESET estimó el 28 de junio de 2017 que el 80 % de todas las infecciones estaban en Ucrania, siendo Alemania el segundo más afectado con alrededor del 9 %. [2]El 28 de junio de 2017, el gobierno de Ucrania declaró que el ataque se detuvo. [13] El 30 de junio de 2017, Associated Press informó que los expertos acordaron que Petya se estaba haciendo pasar por ransomware , mientras que en realidad estaba diseñado para causar el máximo daño, siendo Ucrania el objetivo principal. [14]

Los expertos en seguridad creen que el ataque se originó a partir de una actualización de un paquete de contabilidad fiscal ucraniano llamado MeDoc ( MEDoc  [ uk ] ), desarrollado por Intellect Service. [2] MeDoc fue ampliamente utilizado entre los contadores fiscales en Ucrania, [15] y el software era la opción principal para la contabilidad de otras empresas ucranianas, según Mikko Hyppönen , un experto en seguridad de F-Secure . [2] MeDoc tenía alrededor de 400.000 clientes en Ucrania, lo que representaba alrededor del 90 % de las empresas nacionales del país, [8] y antes del ataque estaba instalado en aproximadamente 1 millón de computadoras en Ucrania. [dieciséis]

MeDoc proporciona actualizaciones periódicas de su programa a través de un servidor de actualizaciones. El día del ataque, el 27 de junio de 2017, el servidor de actualización envió una actualización para MeDoc, después de lo cual comenzó a aparecer el ataque de ransomware. El experto en malware británico Marcus Hutchins afirmó: "Parece que el sistema de actualización automática del software se vio comprometido y se usó para descargar y ejecutar malware en lugar de actualizaciones para el software". [2] La compañía que produce MeDoc afirmó que no tuvo una participación intencional en el ataque de ransomware, ya que sus oficinas informáticas también se vieron afectadas y están cooperando con las fuerzas del orden público para rastrear el origen. [15] [17]El 18 de mayo de 2017 se llevó a cabo un ataque similar a través del software MeDoc con el ransomware XData. Cientos de departamentos de contabilidad se vieron afectados en Ucrania. [18]

El ciberataque se basó en una versión modificada del ransomware Petya . Al igual que el ataque de ransomware WannaCry en mayo de 2017, Petya usa el exploit EternalBlue descubierto previamente en versiones anteriores del sistema operativo Microsoft Windows . Cuando se ejecuta Petya, encripta la tabla maestra de archivos del disco duro y obliga a la computadora a reiniciarse. Luego muestra un mensaje al usuario, diciéndole que sus archivos ahora están encriptados y que envíe US $ 300 en bitcoins a una de las tres billeteras para recibir instrucciones para descifrar su computadora. Al mismo tiempo, el software explota el Bloque de mensajes del servidoren Windows para infectar computadoras locales en la misma red y cualquier computadora remota que pueda encontrar. Además, se descubrió que el software NotPetya usaba una variante de Mimikatz, un exploit de prueba de concepto encontrado en 2011 que demostró que las contraseñas de los usuarios se habían retenido en la memoria de la computadora dentro de Windows, explotando estas contraseñas para ayudar a propagarse a través de las redes. [19]

El exploit EternalBlue se había identificado previamente y Microsoft emitió parches en marzo de 2017 para cerrar el exploit para Windows Vista , Windows 7 , Windows 8.1 , Windows 10 , Windows Server 2008 , Windows Server 2012 y Windows Server 2016 . Sin embargo, el ataque de WannaCry progresó a través de muchos sistemas informáticos que todavía usaban sistemas operativos Windows más antiguos o versiones más antiguas de los más nuevos, que aún tenían el exploit, o que los usuarios no habían tomado los pasos para descargar los parches. Microsoft emitió nuevos parches para Windows XP , Windows Server 2003 y Windows 8el día después del ataque de WannaCry. La experta en seguridad Lesley Carhart afirmó que "todos los métodos de explotación que el ataque utilizó para propagarse se pudieron prevenir por medios bien documentados". [20]