Prevenir ciberataques exige contar con arquitecturas unificadas

Malware ransomware ExPetr

Aunque el peligro parece haber remitido, la amenaza continúa. Los efectos del último gran ataque de ransomware el pasado 27 de junio sobre diversos sistemas informáticos en diversos países, no ha desaparecido y continúa expandiéndose lateralmente – aunque a menor ritmo – en las redes corporativas. Un malware que atacó más de 2000 objetivos, en su mayoría organizaciones en Ucrania y Rusia. También se  registraron ataques en España, Polonia, Italia, Alemania, Reino Unido, China, Francia y varios otros países, lo que genera muchas interrogantes sobre sus objetivos.

Si bien es cierto que los primeros análisis en los medios de comunicación indicaban que el nuevo malware estaba conectado a programas maliciosos muy conocidos: WannaCry y Petya, pero, a diferencia de otros tipos de ransomware, los expertos subrayan que “no cifra los archivos de las máquinas infectadas de forma individual. En su lugar, bloquea toda la unidad de disco duro del equipo”.

Al mismo tiempo que surgía Petya, el equipo de investigación de Check Point detectó la distribución simultánea del bot Loki vía documentos RTF infectados, que instalan una aplicación de robo de credenciales a dispositivos infectados. Sin embargo, por el momento, los dos ataques no parecen estar directamente conectados.

Según el laboratorio de investigación de Kasperskyse trata de un nuevo malware, con algunas ligeras similitudes al PetrWrap (modificación de Petya), aunque lo más probable es no tenga ninguna conexión con este, pese a  compartir algunas cadenas y utilizar también las herramientas de PsExec, además de contar con una funcionalidad totalmente diferente a Petya. Por este motivo lo bautizamos ExPetr, diferenciándolo así del PetrWrap”.

Objetivos del malware de cifrado de ExPetr

El análisis de Kaspersky Lab demuestra también que al menos la mitad de los objetivos del malware de cifrado de ExPetr son diversas organizaciones industriales. Una preocupante lista que incluye sectores como electricidad, petróleo y gas, transporte, logística y otras corporaciones. ExPetr es un tipo de malware ransomware que, tras la infección del equipo de la víctima, cifra el disco duro y hace que el equipo quede inactivo, mostrando un mensaje a la víctima exigiendo un rescate.

Pero según los analistas de Kaspersky Lab, ExPetr está construido de una manera que resulta completamente imposible descifrar archivos, incluso si se paga el rescate. Esto apoyaría la teoría de que esta campaña de malware no está diseñada como un ataque fortuito para obtener ganancias financieras.  Por lo tanto, para instalaciones industriales e infraestructuras críticas, las consecuencias de un ataque exitoso utilizando este malware podrían ser devastadoras.

Kirill Kruglov, experto en seguridad de Kaspersky Lab
Kirill Kruglov, experto en seguridad de Kaspersky Lab

«Por el momento es difícil decir si ExPetr está dirigido específicamente a una industria en particular, o si ha afectado a tantas entidades industriales por casualidad. Sin embargo, la naturaleza de este malware es tal que podría fácilmente detener el funcionamiento de una instalación de producción durante un tiempo considerable. Es por eso que este ataque es un ejemplo claro de por qué las entidades industriales deben estar protegidas de forma contra las amenazas cibernéticas», afirma Kirill Kruglov, experto en seguridad de Kaspersky Lab.

Puntos clave del ataque

Para los analistas de Check Point, que se ha decantado por la denominación Petya, aquí se evidencian dos grandes tendencias: en primer lugar, que los ciberdelincuentes pueden crear y difundir nuevas amenazas a escala mundial a una velocidad increíble. Segundo, a pesar del impacto/advertencia de WannaCry, muchas compañías todavía no están bien preparadas para evitar que el malware se filtre en sus sistemas.

Además – agregan -, estos ataques tienen el potencial de crear un daño masivo, como se ve por el impacto en la infraestructura crítica en Ucrania. Y las consecuencias de una propagación tan rápida de las infecciones pueden tener un efecto dramático en la vida de los ciudadanos, incapacitando servicios críticos e interrumpiendo sus rutinas diarias. Los ejemplos están a la vista. Por lo tanto, tras analizar detenidamente este último ataque, plantea tres demoledoras conclusiones:

1.-  El ataque podría haberse evitado, y los que veremos en el futuro podrán evitarse también. Dado que más del 93% de las empresas no disponen de la tecnología necesaria para protegerse contra este tipo de amenaza, no es de extrañar que se propague con tanta rapidez. Para próximas ocasiones los negocios deben desplegar soluciones que prevengan el ransomware, y aplicar todos los parches de seguridad de su software.

2.-  Es hora de que las empresas, los gobiernos y las organizaciones supranacionales impulsen la agenda de la ciberseguridad. Los ataques globales demuestran que necesitamos invertir en el futuro de la ciberseguridad. Es esencial que las tecnologías modernas de protección se desplieguen desde el Estado para evitar que vuelvan a repetirse.  Sabemos que los ciberdelincuentes continuarán lanzando nuevos tipos de malware una y otra vez, por lo que necesitamos tomar medidas para protegernos.

3.-  La seguridad fragmentada es parte del problema. Hay demasiadas tecnologías sin coordinación entre ellas que se dedican a detectar un ataque después de que el daño está hecho. Para defender a las compañías de todos los tamaños y sectores, se necesitan arquitecturas unificadas centradas en prevenir los ataques antes de que lleguen a las redes corporativas.

Ransomware y su ruta de infección

¿Entonces?  

Los expertos aún no están seguros de los orígenes del ransomware Petya o ExPetr ni de su verdadero propósito. Dado que la cantidad pedida para el rescate -300 dólares – es relativamente pequeña, se especula con que el ataque puede ser una maniobra para causar una interrupción más amplia o bien tener motivaciones políticas.

Además, es probable que la propagación de este nuevo ransomware sea mucho más lenta que el ataque WannaCry del pasado mes de mayo ya que el análisis de código mostró que el nuevo ataque no intentó propagarse más allá de la red en la que fue colocada, según investigadores.  Debido a esto, varios expertos están pronosticando que el ataque no se extenderá significativamente a menos que se modifique.

Sin embargo las interrogantes siguen si respuestas.  ¿Por qué razones surgió?, ¿Cómo se propagó?  ¿Objetivos finales? Expertos de la unidad de inteligencia de Talos Cisco opinan que el ataque pudo haber sido llevado a cabo explotando software de contabilidad vulnerable«Creemos que es posible que algunas infecciones puedan estar asociadas con sistemas de actualización de software para un paquete de contabilidad de impuestos de Ucrania llamado MeDoc«, indica el blog.de la compañía.

Se subraya también que para empeorar la situación, el método por el cual las víctimas pueden pagar la tasa de rescate ya no sirve.  La dirección de correo electrónico proporcionada por los criminales ha sido cerrada por el proveedor de su alojamiento, mientras que la cartera Bitcoin -donde se depositan los rescates- no ha sido tocada.  Hace tres días la cartera contenía aproximadamente US$8.000 Bitcoin, lo que no una gran suma para un ataque tan significativo y generalizado.

Estos factores contribuyen a una teoría que prevalece en la actualidad de que se trataba de un ataque político contra Ucrania, ya que, además, ocurrió en el momento en que el país celebraba su Día de la Constitución. «Esto parece un sofisticado ataque dirigido a generar caos, no dinero», dijo a la BBC el profesor Alan Woodward, científico británico especialista en ciencias informáticas.

Tal vez conviene recordar aquí una situación denunciada en su momento por el estudio “Panorama de amenazas para los sistemas de automatización industrial de la segunda mitad de 2016” realizado a fines de ese año por por Kaspersky Lab y que señalaba “dos de cada cinco ordenadores relacionados con infraestructuras tecnológicas de las empresas industriales tuvieron que hacer frente a ciberataques durante la segunda mitad de 2016”. Además, “uno de cada cuatro ataques detectado por Kaspersky Lab en 2016 estaba dirigido contra objetivos industriales. El porcentaje de ordenadores industriales que sufrieron ataques pasó del 17% en julio de 2016 al 24% en diciembre del mismo año. Las tres fuentes de infección principales: Internet, los dispositivos extraíbles de almacenamiento y los adjuntos con contenido malicioso de los correos electrónicos y los scripts integrados en el cuerpo de los correos.  Los tres países que sufrieron un mayor número de ataques contra ordenadores industriales fueron: Vietnam (más de 66%), Argelia (más de 65%) y Marruecos (60%), que no son precisamente los más industrializados. ¿Un ensayo tal vez?

A tener en cuenta
 

Para evitar ser víctima de futuras ciberamenazas, Check Point recomienda:

1.- Aplicar todos los parches de seguridad en cuanto se distribuyan. Las actualizaciones que solucionan las vulnerabilidades explotadas por Petya y WannaCry están disponibles desde hace varios meses. Las organizaciones deben aplicarlas en sus redes de inmediato. También deben asegurarse de que se desplieguen y apliquen nuevos parches a medida que estén disponibles.

 

2.-  Bloquear los ataques antes de que penetren en la compañía con Prevención de Amenazas de Nueva Generación. Las empresas deben centrarse en prevenir los ataques antes de que sucedan. Detectar este tipo de amenaza avanzada después de que haya sucedido no es suficiente: el daño ya está hecho. La Prevención de Amenazas de Nueva Generación es esencial para buscar, bloquear y filtrar el contenido de los archivos sospechosos antes de que entren en las redes. También es clave que el personal esté informado sobre los riesgos potenciales de los emails enviados por personas desconocidas o los sospechosos que provienen supuestamente de contactos conocidos.

 

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.