Volver

Nota informativa sobre el ciberataque masivo del martes 27 de junio de 2017

MicroCAD emite esta nota para informar sobre la situación creada a raíz del ciberataque masivo que se ha producido ayer martes 27 y que está afectando a empresas de decenas de países, incluido el nuestro.

Introducción:

Hace un mes y medio, un ciberataque a Telefónica y a multitud de empresas a nivel mundial sembró el pánico en muchas empresas españolas. Un ransomware llamado WannaCry cifró y bloqueó el acceso a unos cuantos ordenadores. Ahora, una nueva versión de otro ransomware llamado Petya está llegando a nuevas empresas en España y múltiples países de Europa.

Alcance:

De momento, en España está confirmado que están afectadas Mondelez (empresa de alimentación dueña de marcas de populares galletas como Oreo y Chips Ahoy) y DLA Piper (uno de los mayores bufetes de abogados del mundo), así como otras empresas como Maersk, la gran empresa dedicada al transporte y logística, la cual está sufriendo la infección en sus terminales APM.

Entre los países afectados por este nuevo ataque se encuentran España, Ucrania, India, Rusia y Reino Unido, a los cuales se están sumando otros tantos. Desde Ucrania, afirman que el ataque está siendo muy fuerte y tiene como objetivo todo tipo de empresas, como bancos, en el que afirman que es el mayor ciberataque de su historia.

Tipo de amenaza:

El ransomware utilizado parece ser una variante de Petya llamada Petwrap, y estaría destinado a ordenadores con Windows, aprovechándose de alguna vulnerabilidad en versiones antiguas no parcheadas. Según apunta The Hacker News, se aprovecharía de la misma vulnerabilidad en Windows SMBv1 que WannaCry, la cual Microsoft dijo que iba a eliminar del sistema operativo para evitar ataques de este tipo. La vulnerabilidad fue parcheada en marzo para los sistemas operativos más recientes, y en mayo para XP y versiones antiguas de Windows Server. El origen del ransomware se encuentra en Eternalblue, una de las herramientas de hackeo usadas por la NSA y filtradas por Shadow Brokers. Según los análisis que se están realizando de los archivos infectados, el foco de infección son archivos de Excel o Word que aprovechan la vulnerabilidad de Office CVE-2017-0199.

Petya, a diferencia de WannaCry, lo que hace es cifrar el MFT (Master File Table) del disco duro, dejando el MBR (Master Boot Record) inoperable, e impidiendo el acceso al sistema a través de cifrar información sobre los nombres de archivos, tamaños y localización de los mismos en el disco duro. Además, Petya reempalza el MBR con su propio código malicioso con la nota del rescate.

Propagación:

De momento, parece que el origen de la infección se encuentra en emails de phishing con enlaces maliciosos que contenían el ransomware, el cual pasa a propagarse por dispositivos conectados a la misma red local con WMIC y PSEXEC una vez ha infectado un ordenador. Este es el motivo por el cual sistemas parcheados con todas las últimas actualizaciones instaladas pueden verse afectados incluso por este ataque.

Medidas recomendadas a aplicar:

  • Concienciar a los usuarios. No deben abrir correos de dudoso origen y/o contenido.
  • Tener los sistemas operativos actualizados con los últimos parches y los antivirus con las últimas firmas descargadas.
  • Deshabilitar SMBv1 en todos los equipos.
  • Se recomienda encarecidamente retirar de toda infraestructura sistemas operativos sin soporte como Windows XP o Windows Server 2003.
  • Tener un UTM en la infraestructura, tenerlo actualizado y bien configurado.

Conclusión:

Cada vez se hace más necesario tener sistemas de seguridad (UTM) no solo perimetrales sino también que aporten servicios de seguridad que puedan actuar sobre los endpoints, inspeccionando en local y en sandbox, correlacionando datos y generando una respuesta automática a este tipo de amenazas. Por otro lado, los antivirus tradicionales basados en firmas ya están obsoletos, poco o nada pueden hacer ante estos nuevos ataques, pero poco a poco aparecen “antivirus” de nueva generación que, en lugar de basarse en firmas, utilizan fórmulas matemáticas capaces de detectar y actuar en consecuencia frente a las distintas variantes de amenazas de “0 day”, que se generan mutando una pequeña parte de su código y se hacen muy difíciles de parar.

Atentamente,

Ruben Conesa

Responsable de área Comunicaciones y Seguridad