Nota-CiberseguridadPor Alfred NG

Miles de computadoras alrededor del mundo se están bloqueando debido a un ataque cibernético del estilo ransomware que se está esparciendo rápidamente. Grandes empresas han caído víctimas. Un hospital entero no puede acceder a sus sistemas computacionales. De la nada, estos ataques están en todas partes.

GoldenEye, una nueva cepa del ransomware conocido como Petya, tomó al mundo por sorpresa el martes después de iniciar un ciberataque en Kiev, Ucrania. De allí, se esparció por la red eléctrica del país, a sus aeropuertos y oficinas gubernamentales. En el sitio del desastre nuclear Chernóbil, los trabajadores tuvieron que monitorizar los niveles de radiación de forma manual debido al ataque. Y así, GoldenEye empezó a extenderse por el mundo.

La empresa petrolera más grande de Rusia, Rosnef, sufrió un ciberataque. Maersk, la mayor empresa de transporte marítimo de mercancía con sede en Dinamarca, tuvo que apagar sus sistemas para prevenir el esparcimiento del ataque. Merck, una de las empresas farmacéuticas más grandes del mundo con sede en Nueva Jersey, también fue víctima de un hackeo masivo.

La lista de víctimas de GoldenEye no se detiene aquí, y tal y como pasó con WannaCry en mayo, este ciberataque ha bloqueado más de 200,000 computadoras alrededor del mundo.

Sólo le llevó 44 días a GoldenEye para orquestar este ataque masivo.

Los ataques tipo ransomware han existido durante años, pero generalmente están dirigidos a redes individuales, como un hospital o un individuo. Pero después de que el grupo de hackers Shadow Brokers filtró las vulnerabilidades o exploits identificadas por al Agencia de Seguridad Nacional de Estados Unidos (NSA, por sus siglas en inglés) en abril, los criminales cibernéticos pudieron poner sus garras en un arma mucho más peligrosa.

El exploit EternalBlue de la NSA, que sacaba provecho de la capacidad de las computadoras Windows de compartir rápidamente archivos a través de una red, es como una artillería pesada que potencia tanto a WannaCry como a GoldenEye.

Con esta vulnerabilidad, no es necesario que accedan tu sistema para tu computadora sea infectada.

Aun cuando seas un usuario responsable con una computadora actualizada, alguien en tu red puede ser engañado y guiado a descargar malware a través de emails o un documento Word cargado.

Esta es la razón por la que ves ataques de esta envergadura y por qué el término “sin precedentes” sigue surgiendo en referencia a este tipo de ataques.

Imagínate pescar con una sola caña y, luego súbitamente, cuentas con una enorme red de pescar. Para los hackers, es momento de zarpar al mar.

Ransomware 2.0

La combinación de las herramientas de hackeo de la NSA con malware convencional ha creado una fusión tóxica, especialmente cuando puedes comprar malware. GoldenEye es una variante de Petya, el cual se vendía en los foros del Internet oscuro o la infrared como un servicio de ransomware. Los compradores obtienen el 85 por ciento de las ganancias, mientras que los creadores del malware obtienen el 15 por ciento.

“No tienes que ser un genio de las redes para infligir daños”, dijo Michael Daly, el director de tecnología de Raytheon Cybersecurity. “Varios kits y ransonmware como un servicio externo están disponibles en los foros de la infrared”.

Además, el malware se ha hecho más inteligente. WannaCry, a pesar de su fama, era bastante básico. Un investigador descubrió por accidente su kill switch después de experimentar con un nombre de dominio registrado.

Comparadao con GoldenEye, WannaCry se ve como si hubiese sido creado por amateurs. Con el empleo de Petya, el nuevo ataque de ransomware no solamente encripta archivos clave sino también tu disco duro entero, lo que obliga a tu computadora a reiniciarse.

El ataque también borra los registros de eventos de la computadora para borrar su rastro y esconderse de los analistas, dice Mark Mager, un investigador de seguridad en Endgame.

“Los analistas forenses no serán capaces de acceder estos datos que serán útiles en su investigación”, dijo Mager.

Y, en esta ocasión, no se podrá encontrar el kill switch por accidente. Amit Serper, un investigador con Cybereason, encontró una forma de bloquear GoldenEye al crear un archivo en tu disco duro, pero esto no logrará acabar con el esparcimiento del ataque como lo hizo el kill switch de WannaCry.

Marcus Hutchins, quien encontró la solución para acabar con WannCry, dijo que acabar con GoldenEye no se podrá realizar de forma remota.

No ha llegado una solución

Se suponía que WannaCry iba a ser una llamada de atención para que las personas actualizaran sus computadoras con el software más reciente. Pero parece que a la gente se le olvidó el ataque y continuaron con sus vidas.

Avast, una compañía de antivirus, encontró que 38 millones de computadoras que se escanearon las semana pasado aún no han protegido sus sistemas. Y este análisis se realizó después de que Microsoft lanzó arreglos especiales para que las computadoras anticuadas que todavía ejecutaban Windows XP y versiones anteriores del sistema operativo pudieran ser protegidos de las vulnerabilidades expuestas por la NSA.

Pero, considerando que nadie usa Avast, Jakub Kroustek, el líder de laboratorio de Avast, infiere que el “número real de PCs vulnerables es mucho más elevado”.

Microsoft no ha respondido a una solicitud de comentario sobre el tema.

Mayo-junio 2017