Una variante del virus informático "Petya" afectó hoy de forma masiva a decenas de grandes empresas e instituciones europeas, principalmente en Rusia y Ucrania, en un ciberataque similar al que sufrieron hace un mes 200.000 usuarios en 150 países. "Petya" es "un virus similar a 'WannaCry' (responsables del ataque de mayo), que bloquea los ordenadores y exige el pago de 300 dólares en bitcoines", informó en un comunicado la compañía de ciberseguridad rusa Group-IB. La también rusa Laboratorio Kaspersky, una de las grandes multinacionales en el ámbito de la ciberseguridad, advirtió de que el virus ya se ha extendido por todo el mundo.
"Se trata de un troyano que se expande de forma autónoma, al igual que el 'WannaCry'", explicó el jefe de la unidad de investigación internacional de la compañía, Costin Raiu, quien dijo que aún es pronto para identificar el programa, toda vez que usa "un sistema de contagio" distinto al de "Petya".
Ucrania ha sido, con diferencia, el país más dañado por el ataque informático y sus autoridades no han tardado en responsabilizar de todo a Moscú, pese a que entre las víctimas del programa hay varias empresas estatales y bancos rusos. "No hay ninguna duda de que Rusia está detrás de todo esto porque a día de hoy así es como se hace la guerra híbrida", dijo a una cadena de televisión local Zorián Shkiriak, consejero del ministro de Interior ucraniano, Arsén Avákov.
Entre los afectados en Ucrania están las redes informáticas del Gobierno ucraniano, el Ayuntamiento de Kiev, decenas de entidades bancarias estatales y privadas, sistemas de transporte público, medios de comunicación y empresas de telecomunicaciones.
El departamento de delitos informáticos de la Policía Nacional de Ucrania ha recogido más de 200 denuncias de instituciones públicas, empresas y usuarios particulares. "Los bancos ucranianos tienen dificultades para dar servicio a los clientes y ejecutar operaciones", admitió el Banco Central.
Pese al alcance del ataque, los sistemas de infraestructuras vitales del país no han resultado dañados, afirmó el primer ministro ucraniano, Vladímir Groysman.
En Rusia, entre las víctimas del ataque está el gigante petrolero Rosneft, uno de los primeros en denunciar la incursión de los piratas informáticos en sus servidores. "El ataque pudo tener serias consecuencias, pero, gracias a que la compañía recurrió a un sistema de dirección de reserva, la producción del crudo continuó" con normalidad, explicó un portavoz de la petrolera a medios rusos.
El Banco Central de Rusia también informó de que varias entidades financieras del país fueron atacadas por un virus informático, pero aseguró al mismo tiempo que el incidente no afectó a su funcionamiento normal.
En el resto de Europa, entre las empresas afectadas está la naviera danesa Maersk, que en un mensaje en la red social Twitter informó de que sus sistemas "se cayeron en múltiples sitios y en unidades de negocio, debido al ciberataque".
El grupo francés Saint-Gobain, fabricante de materiales de construcción, y la farmacéutica estadounidense Merck han sido por ahora de las pocas multinacionales, junto con Maersk, en admitir haber sido víctimas de un ataque que podría resultar tan devastador como el célebre "WannaCry".
Una portavoz de Saint-Gobain confirmó a Efe que "otros grandes grupos franceses" se han visto afectados, mientras que las autoridades alemanas también han situado a varias empresas del país entre las víctimas de "Petya".
La Oficina Federal para la Seguridad en la Tecnología Informática (BSI) germana apuntó a que el virus se aprovecha de la misma debilidad de Windows que empleaba "WannaCry" para infectar ordenadores. En este sentido, la autoridad alemana instó a las empresas a tomarse en serio la ciberseguridad y actualizar sus sistemas informáticos, ya que los programas para subsanar estos fallos están disponible desde hace meses.
Según la prensa británica, también han sufrido las consecuencias del ciberataque firmas del Reino Unido, Holanda, Italia, Polonia y Bielorrusia, entre otros países.
ESPAÑA: AFECTA A MULTINACIONALES CON SEDE EN ESPAÑA
El Centro Criptológico Nacional, dependiente del Centro Nacional de Inteligencia (CNI), ha alertado de la existencia de un nuevo ciberataque internacional de virus ransomware que, de momento, no ha afectado a ningún organismo público aunque sí a multinacionales con oficinas en España. Fuentes del Centro Criptológico han indicado a Efe que, hasta este momento, no hay constancia de que el ataque haya afectado a ningún organismo de la administración estatal.
Sin embargo, las fuentes han añadido que se han recibido en el centro avisos de ataques por parte de algunas empresas multinacionales que tienen oficinas en España.
Han señalado además que el nuevo ciberataque parece similar al denominado WannaCry, que en mayo pasado afecto a empresas de todo el mundo y a instituciones de distintos países.
El Centro Criptológico Nacional alerta en su página web de la detección del virus ransomware "que afecta a sistemas Windows, cifrando el sistema operativo o disco y cuya propagación es similar a la de WannaCry; es decir, una vez ha infectado una máquina puede propagarse por el resto de sistemas conectados a esa misma red". Añade que se trata de "una variante de la familia Petya" que se ha detectado ya en empresas ubicadas en Ucrania y en algunas multinacionales con sede en España.
Para el descifrado de los archivos, la campaña solicita un rescate en Bitcoin de 300 dólares.
Como medidas de prevención y mitigación, el centro recomienda actualizar el sistema operativo y todas las soluciones de seguridad, así como tener el cortafuegos personal habilitado.
Señala que los accesos administrativos desde fuera de la empresa sólo deben llevarse a cabo mediante protocolos seguros y apela a "mantener una conducta de navegación segura, empleando herramientas y extensiones de navegador web completamente actualizado". Asimismo, se debe "activar la visualización de las extensiones de los ficheros para evitar ejecución de código dañino camuflado como ficheros legítimos no ejecutables" y "deshabilitar las macros en los documentos de Microsoft Office y otras aplicaciones similares".
El Centro Criptológico recuerda que dispone de dos informes con medidas de seguridad contra el ransomware, que incluyen pautas y recomendaciones generales y detallan los pasos del proceso de desinfección y las principales herramientas de recuperación de los archivos.
Recalca que "efectuar el pago por el rescate del equipo no garantiza que los atacantes envíen la utilidad y/o contraseña de descifrado, sólo premia su campaña y les motiva a seguir distribuyendo masivamente este tipo de código dañino". "En el caso de haberse visto afectados por esta campaña y no dispusieran de copias de seguridad, se recomienda conservar los ficheros que hubieran sido cifrados por la muestra de ransomware antes de desinfectar la máquina, ya que no es descartable que en un futuro apareciera una herramienta que permitiera descifrar los documentos que se hubieran visto afectados", concluye.
ALERTA A LAS ADMINISTRACIONES PÚBLICAS
El Centro Criptológico Nacional, dependiente del Centro Nacional de Inteligencia (CNI), ha alertado a las administraciones sobre la existencia de un nuevo ciberataque de virus randsomware a escala internacional que, de momento, no ha afectado a ningún organismo público.
Fuentes del Centro Criptológico han indicado a Efe que, hasta ahora, no hay constancia de que el ataque haya afectado a ningún organismo de la administración.
UN ATAQUE MÁS PROFESIONAL
El nuevo ciberataque se está extendiendo "bastante rápido" por decenas de organizaciones importantes de todo el mundo, según expertos consultados por Efe, que señalan que, si bien es pronto para saber si es más o menos virulento que el de mayo, parece "un trabajo bastante profesional y más desarrollado". "Se trata de un ransomware ya conocido y aún así ha logrado afectar a muchas organizaciones, con lo cual es un trabajo bastante profesional", ha resumido a Efe el experto en ciberseguridad Deepak Daswani.
Daswani ha explicado que la infección de equipos es por un malware del tipo ransomware, de la familia conocida como Petya o Petrwrap, mediante el que se solicita un pago de 300 dólares en la moneda virtual bitcoin.
El virus de hoy es una variante de Petya, un tipo de ransomware que ya había aparecido otras veces y que en este caso se propaga a través de los mismos mecanismos que WannaCry -el de mayo pasado-. "Parece que explota las mismas vulnerabilidades", ha detallado Daswani, "por lo que es raro que sigan existiendo tantos equipos expuestos sin actualizar en organizaciones tan importantes".
Por su parte, Josep Albors, responsable de investigación y concienciación del laboratorio de ciberseguridad ESET, ha relatado que este malware no parece que cifre la información, sino que modifica el "índice del disco duro" haciendo imposible el acceso a la misma.
WannaCry cifraba la información directamente y mostraba un mensaje pidiendo un rescate, pero el actual virus cambia el índice, por lo que el equipo no sabe buscar la información, lo que, en su opinión, significa que "han invertido en desarrollo".
En estas circunstancias, Albors ha apuntado que se debe mantener la calma y salvo que se sea experto no se debe trata de actuar sobre el disco duro, que se debe poner en manos de especialistas y no utilizar herramientas de reparación si no se dominan, ya que se pueden producir mas daños.
Al parecer ambos ransomware -el de ahora y el del pasado mayo- explotan la misma vulnerabilidad de Windows, si bien en la forma de propagarse hay algunas singularidades como que aprovecha algunas herramientas profesionales de comunicación entre equipos -como PSExec-.
