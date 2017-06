El equipo especializado en detección ciberataques del Gobierno español (CERTSI) ha difundido cómo está siendo el ciberataque y los equipos afectados. Así es:

Recursos afectados: Equipos con sistemas Windows.

Descripción: Se está produciendo una infección de equipos con sistemas Windows en diferentes organizaciones, por un malware del tipo ransomware y de la familia conocida como Petya o Petrwrap, y solicitando un pago a través de bitcoin de 300 dólares.

Solución: Se desconoce el método de infección con esta variante de Petya o Petrwrap, su propagación sería similar a WannaCry, pero también podría propagarse a través de otros mecanismos habituales de este tipo de malware.

Se recomienda tomar las siguientes medidas preventivas:

Mantener sus equipos actualizados tanto su sistema operativo como otro software instalado.

No abrir ficheros descargados de Internet o recibidos por correo electrónico de fuentes no confiables.

Realizar copias de seguridad de sus ficheros.

Mantenerse al tanto de las últimas informaciones que puedan publicarse sobre esta oleada.

Detalle: La infección se está produciendo a través de equipos con sistemas Windows en diferentes organizaciones, y afectando especialmente a Ucrania.

El virus es un ransomware similar al utilizado en el ciberataque de Wannacry el pasado mayo, que se basa en una tecnología robada a la Agencia de Seguridad Nacional de EEUU (NSA, por sus siglas en inglés) y después filtrada como denuncia por el grupo Shadow Brokers. Afecta a ordenadores Windows. Algunos expertos y la compañía ucrania Novaia Potchta, una de las afectadas, afirma que se trata del virus Petya o Petrwrap.

Sin embargo, el laboratorio del gigante ruso en seguridad informática Kaspersky afirma que se trata de uno nuevo, nunca antes visto; por eso lo ha llamado NotPetya.

El virus que se ha lanzado este martes se aprovecha de una vulnerabilidad en el protocolo para compartir en red de los sistemas operativos Windows, que ya sirvió en mayo a WannaCry y que muchas empresas todavía no habían corregido. Entre las afectadas están importantes compañías como la petrolera Bashneft y la siderúrgica y minera Evraz, propiedad del magnate Roman Abramovich (ambas rusas). Ambas —como Rosneft— afirman que su producción no se ha visto afectada. El holding británico WPP —que tiene entre otras JWT, Ogilvy & Mather, Young & Rubicam and Grey— y la multinacional de vidrio y acero francesa Saint Gobain también están entre las hackeadas. Entre las atacadas también hay empresas estadounidenses, como la farmacéutica MSD o la firma jurídica DLA Piper.

Vulnerabilidad

Fernando Carrazón, director de tecnología de GoNetFPI, compañía española para la prevención del fraude en ciberseguridad, apunta que las atacadas son, en su mayoría, compañías medianas, y no grandes corporaciones como las que sufrieron el 12 de mayo WannaCry.

“Lo importante ahora es ver cómo se propaga la infección para saber las dimensiones globales de este virus”, señala el jefe de Tecnología de IOActive, César Cerrudo. Interpol está analizando lo sucedido.

David Barroso, fundador de la compañía de ciberseguridad CounterCraft, apunta que por ahora imposible saber de dónde procede el ataque.

“Es muy sencillo manipular los indicios de un ataque para poder culpar a otro grupo o nación”, dice. "Lo que sí que es cierto, es que hay muchas relaciones con Ucrania, puesto que Ucrania está siendo uno de los mayores afectados, además de que el propio malware parece que ha utilizado un fallo en la actualización de un producto financiero ampliamente utilizado en Ucrania (MeDoc) para poder propagarse de forma masiva en ese país, lo que, o bien el que está detrás quiere hacer realmente daño a Ucrania, o bien es una pista falsa para poder culpar a otra nación del ataque".

El experto en ciberataques César Cerrudo sostiene que desde el macroataque cibernético que afectó a casi todos los países del mundo el pasado mayo aún quedaron “cientos de miles de ordenadores expuestos a más agresiones, pues no habían realizado la actualizaciones necesarias para protegerse”. Cerrudo, no obstante, asegura que a raíz del ataque de mayo, el mundo está más y mejor preparado para responder a una agresión de este tipo.

Este tipo de ransomware se suele propagar por el mero hecho de abrir un correo electrónico o un archivo adjunto o la instalación de un programa en el ordenador. Ante un ataque de semejantes dimensiones lo primero que hay que hacer, explica este experto, es “aislar los sistemas”, después hay que analizar el malware y ver cómo se propaga, que puede llevar “varias horas”.