Yataco
28 de Junio del 2017

Kaspersky: este ciberataque se cierne sobre las corporaciones y ya llegó a Latinoamérica

Kaspersky: este ciberataque se cierne sobre las corporaciones y ya llegó a Latinoamérica

Parece que repitiéramos el drama que se vivió con el ataque del WannaCry, pero este ciberataque es diferente y tiene un solo objetivo, las corporaciones.  Así lo afirmó el director del Equipo Global de Investigación y Análisis de Kaspersky Lab en América Latina, Dmitry Bestuzhev, al hablar sobre Petya.

¿Qué diferencia el ciberataque de Petya del ocurrido en mayo con el WannaCry? 

Existen varias diferencias entre Petya y WannaCry. La primera es que el ciberataque de hoy utiliza una técnica de extracción de credenciales o sea, nombres de usuario y contraseña desde la memoria del equipo infectado. WannaCry no lo hacía. Imaginemos que en la máquina infectada trabaja el administrador de red, con sus credenciales el atacante podrá infectar toda la red en solo un instante. Otra diferencia es que utiliza no solo el 'explorer' de Eternal Blue sino otro más, llamado Eternal Romance. Es también un 'explorer' de red que permite infectar equipos en la red que no tienen todas las actualizaciones de Windows al día. Además, el WannaCry cifraba los archivos.Pero este además de cifrarlo, también cifra el sector de arranque, lo que viene antes de Windows. Y cuando la máquina se reinicia infectada por el Petya, ya se muestra la pantalla que anuncia que la máquina ha sido secuestrada y que hay que pagar para recuperarla, por lo que la víctima no llega nunca atener acceso a su sistema operativo.

¿Pagar el secuestro puede ser una solución?

Al comienzo del ciberataque podría parecer que sí, pero nosotros nunca recomendamos a la gente que lo haga, pero lo que pasó durante estas últimas horas es que el atacante utilizó un servicio de correo electrónico llamado 'posteo'. Es un proveedor de correo electrónico donde ellos tenían la dirección de sus víctimas para escribirles y pedir un descifrador. Pero el proveedor eliminó esta cuenta, porque pertenece a los criminales. Entonces, en este momento las víctimas y los criminales no tienen comunicación alguna. Si alguien paga el rescate, a pesar de la recomendación, en realidad nunca recibirá ayuda alguna, porque los criminales no tienen acceso a su correo electrónico para comunicarse con las víctimas.

¿Qué debería hacer quien sea atacado por Petya? ¿Qué soluciones hay frente al ataque?

Si alguien ya perdió sus datos hay que intentar recuperarlos usando un software especializado en análisis forense. Lo mejor, por supuesto, es subir los respaldos si es que el usuario contaba con ellos antes del ciberataque. Además, a todos les conviene revisar en sus computadoras si tiene todos los parches de Microsoft.  Y si tiene un sistema operativo obsoleto, por ejemplo Windows XP, o su sistema operativo es pirata (y por eso no tiene actualizaciones), mi recomendación urgente es instalar sistemas operativos modernos como Windows 7 o Windows 10, originales para que tenga las actualizaciones. Esto es lo indispensable.

¿Solo Windows o también otros sistemas operativos se han visto afectados?

En este caso en particular se trata de un 'malware' diseñado solo para quienes tienen Windows.

Sabemos que más de 100 empresas han sido atacadas desde las primeras horas del día ¿Qué empresas han sido afectadas por el ciberataque? 

Sí, lo hemos visto tanto en fuentes periodísticas como nuestras 
propias métricas.  Hay víctimas en Ucrania, Brasil, Holanda, México, incluso corporaciones internacionales en Rusia. Yo creo que en este momento la gente se encuentra como que en shock, las compañías, porque sus operaciones han sido paralizadas. Probablemente las reacciones o el postrauma empezará mañana.

¿Y esto terminará teniendo algún tipo de efecto en el movimiento financiero?

Sí, por supuesto. Entre las víctimas a nivel mundial del ciberataque se encuentra una mega corporación que maneja diferentes industrias críticas, como por ejemplo, energía eléctrica,  petróleo y gas natural, cosas así. Y para ellos detener sus operaciones son miles de millones de dólares de pérdida.

¿Cómo se llama esta corporación?

Por el momento no es ético dar nombres, pero sí puedo mencionarte a una que ya ha sido nombrada antes: Maersk. Esta empresa se ha visto muy afectada.

¿De dónde se sospecha que viene el ciberataque?

Por el foco principal se cree que la fuente del ciberataque estaría en Europa. No hay forma de definir quién ha sido aún. Solo sabemos que básicamente usa la idea del WannaCry, aunque es diferente. El diseño no está pensado para usuarios finales, sino para corporaciones. Se nota que es un daño enfocado en estas últimas.

¿Qué tipo de objetivos tendría el hacker (o grupo) con este ciberataque? ¿Qué quiere demostrar?

Paralizar y causar daños económicos. El rescate no es la motivación real, son solo US$300, sino causar daño y perjuicio. Entre los datos que se busca cifrar no se encuentran cosas típicas del uso de usuarios finales, sino de corporaciones, a menos que se trate de un programador.

Teniendo en cuenta que ya llegó a Brasil y México, ¿qué posibilidades hay para que Petya se extienda en toda Latinoamérica? 

Yo creo que no es algo que vaya a suceder de todas formas, pero sí puede pasar según las circunstancias que se presenten. Me refiero básicamente a compañías que no han parchado su última versión de Windows y tan solo hace falta que llegue ahí un correo en una de estas máquinas para que empiece la pandemia. Creo que mañana podremos saberlo con mayor certeza. 

¿Pero mañana no tendríamos comprometido a todo el continente con la velocidad con la que se ha movido Petya?

No creo que vaya más lento. Pero hay que tomar en cuenta que este ciberataque es dirigido y es mas cuidadoso que el WannaCry. Por eso creo que la propagación puede variar en el continente.

¿El Hospital del Cáncer de Barretos en Brasil es uno de estos blancos pensados por el atacante?

Bueno, en Brasil no solo fue afectado este hospital, sino también otra 
compañía que se dedica al manejo de fondos de las inversiones. 

¿Mañana tendremos el sistema financiero latinoamericano comprometido por el ciberataque?

La probabilidad de que se afecte el sistema financiero latinoamericano existe pero es baja, pienso que por lo que el ciberataque no fue diseñado específicamente para atacar al sistema mundial financiero, sino a corporaciones de Europa oriental. Sin embargo, el impacto en Latinoamérica podría ser alto, puede llegar a ser desastroso.

¿Qué medidas tomará su compañía en relación a sus clientes y las víctimas potenciales de este ciberataque?

Hubo ataques a nuestros clientes pero sin mayor éxito. Nosotros publicamos un blog en el que damos algunas recomendaciones, dentro de las cuales están las de actualizar el sistema operativo, también instalar los parches, etc.

¿Ustedes, en Kaspersky Lab, se sienten como un  blanco potencial?

Tomamos las precauciones del caso, pues no se descarta que el ciberataque pueda llegar a empresas como la nuestra.