De la misma forma que ocurrió en mayo con WannaCryptor, el pasado mes de junio el mundo de la seguridad se situó en la cabecera de todos los medios con un nuevo incidente de seguridad en el que Ucrania figuraba como el principal país afectado.

“Cuando estábamos a punto de despedir el mes y muchos empezaban ya a hacer la maleta para disfrutar de sus vacaciones, un nuevo ciberataque hizo acto de presencia y volvimos a experimentar situaciones similares a las que sufrimos con WannaCryptor el mes pasado”, explica Josep Albors, responsable de concienciación en ESET España. “Los informativos y medios de comunicación se llenaron de imágenes de sistemas afectados por lo que parecía un nuevo caso de ransomware, aunque pronto vimos que había algo más detrás”, continúa.

Tal y como os contámos, la amenaza copiaba parte de la funcionalidad de un ransomware que apareció en 2016, de nombre Petya. Entre las acciones que realizaba se encontraba el cifrado del MBR (o sector de arranque del disco) y de otros ficheros con ciertas extensiones. Sin embargo, por mucho que esta supuesta variante de Petya se anunciase como ransomware, las investigaciones realizadas a posteriori apuntan a que su verdadera finalidad era la destrucción de la información almacenada en los discos de los sistemas infectados y no ganar dinero.

 Esta amenaza había sido diseñada para causar el mayor daño posible en un país en concreto: Ucrania

El vector de ataque inicial y las herramientas de movimiento lateral para propagarse en las redes corporativas también demostraron que esta amenaza había sido diseñada para causar el mayor daño posible en un país en concreto: Ucrania.

El hecho de utilizar un servidor de descargas comprometido y perteneciente a una empresa que desarrolla un software de contabilidad muy utilizado en Ucrania (y por empresas extranjeras que operan en ese país) demuestra lo dirigido de este ataque. Además, no sólo se utilizaron algunos de los exploits de la NSA utilizados por WannaCryptor, sino que también se añadieron herramientas legítimas para garantizar su propagación en redes con equipos parcheados.

A día de hoy aún es pronto para asegurar categóricamente quién hay detrás de esta acción pero la información aportada por algunos investigadores de ESET indican que este ataque podría estar relacionado con otros anteriores, como el que dejó sin electricidad a miles de usuarios en Ucrania, y con casos de ransomware observados durante la primera mitad de 2017 perpetrados por el grupo TeleBots.

 

About Author

Globb Security

Globb Security, la web de referencia del sector de la seguridad informática.

Deja un comentario