edición: 2347 , Lunes, 20 noviembre 2017
28/06/2017

Un nuevo ataque informático contra Windows paraliza grandes corporaciones, bancos y puertos

El virus Win32/Petya.A no se puede desactivar como el WannaCry y se teme que persista el ataque
Carlos Schwartz
La página web de APM Terminals estaba inactiva y la terminal de carga de APM en Algeciras estaba paralizada. AP Möller Maersk, el conglomerado naviero y de terminales de carga era una de las víctimas de un ataque informático llevado a cabo con un virus que pide un rescate para liberar las infraestructuras informáticas de sus víctimas. Las grandes terminales de la naviera en Los Ángeles, Nueva York y Rotterdam también estaban paralizadas. Según fuentes próximas a la empresa una docena de sus terminales de carga habían estaban inactivas. Esta vez no fue el “malware” WannaCry sino el Win32/Petya.A de acuerdo con la información oficial de Microsoft. El virus no es nuevo. Es un viejo conocido de las empresas de seguridad informática y de Microsoft. Pero ha sido reforzado con la inclusión en su estructura del mecanismo de ataque EternalBlue que aprovecha fallos de programación del sistema operativo Windows para extenderse a través del bloque del protocolo de mensajes de servicio (SMB) de ese sistema operativo. Es decir utiliza los propios canales de mensajes de servicio preestablecidos. La gran innovación de estos ataques es la capacidad que tienen de extenderse a través de las redes.
Hasta ahora este tipo de virus solo podía atacar un equipo aislado pero no era capaz de extenderse por toda una red corporativa. El mecanismo de ataque conocido como EternalBlue fue sustraído del sistema informático de la Agencia Nacional de Seguridad (NSA, por sus siglas en inglés) en marzo de este año por los piratas informáticos conocidos como Shadow Brokers. El arma fue compilada en código abierto y puesta a disposición de la comunidad de piratas informáticos. Un dispositivo de ataque similar para versiones más antiguas de Windows, Esteem Audit, aun no ha sido utilizado pero también está dentro del arsenal hostil. Una de las características del ataque con Petya es que el virus no se comunica con el atacante y por lo tanto no se puede detectar si hay una vía para desactivarlo a través de algún dominio web. La detección de un dominio inexistente con el cual el WannaCry intentaba comunicarse permitió frenar su avance durante su ataque en mayo pasado.

  “Si no existe una forma de desactivarlo el ataque puede mantenerse viajando de red en red durante semanas. Una corporación limpia su sistema y lo activa mientras otra cae víctima del ataque”, señala una fuente de una empresa de seguridad informática consultada por ICNreport. El ataque del martes ha sido de gran envergadura. Ha comprometido a departamentos del Gobierno en Ucrania. A grandes empresas rusas como Rosneft, el gigante de la publicidad con sede en Reino Unido WPP o la farmacéutica Merck.

La paralización de terminales de carga en puertos pone al desnudo la capacidad de un ataque informático para afectar a la logística de redes internacionales de transporte. Maersk informó en su página web y mediante su cuenta de Tweeter de que era víctima de un ataque que había derribado sus infraestructuras informáticas. Esta es una situación sumamente llamativa. En abril de este año el conglomerado danés anunció que había escogido a Microsoft como socio para “revolucionar su cadena de suministro y comercio mundial”. De acuerdo con Microsoft el conglomerado “Desde sus barcos conectados hasta su economía de transporte, apuesta a Microsoft para alimentar el crecimiento y la potencia de logística global”. Dos meses después las infraestructuras informáticas y de Internet de AP Möller Maersk en cuyo núcleo hay un sistema operativo de Microsoft, Windows, se derrumba ante un virus.

Más incomprensible aun es el hecho que de acuerdo con el gigante de la informática los problemas de diseño de Windows explotados por estos virus fueron resueltos mediante un parche tras saberse que Eternal Blue se apoyaba en ellos y que estaba en manos de piratas informáticos. De acuerdo con Microsoft además sus sistemas Windows Defender para Windows 10 y Windows 8.1 o Microsoft Security Essentials para Windows 7 y Windows Vista, además del Safety Scanner, eliminan el problema.

Es realmente incomprensible que una corporación de las dimensiones de la naviera danesa no se haya blindado contra los fallos de Windows, y menos habiendo “elegido” a la empresa de software como proveedor de servicios en la nube, o tal cual afirma Microsoft, eligiéndola “para unir fuerzas”. La Autoridad del Puerto de Nueva York y Nueva Jersey emitió un aviso a los barcos con destino a la terminal de Maersk en Elizabeth, Nueva Jersey, para que retrasaran su ruta ante los problemas de “sistema” que sufría la terminal. A la tarde la autoridad portuaria dijo que la terminal permanecería cerrada por el resto del día. Otro tanto ocurría en Los Ángeles. Las terminales en puertos de la entidad de Algeciras y Rotterdam padecieron el mismo problema. Maersk juega un papel crucial en la cadena de suministro del comercio internacional.

Además sus problemas en terminales de carga afectan a todas las navieras que utilizan esas infraestructuras. No sólo eso sino que las navieras que forman parte de su alianza se tienen que haber visto afectadas a su turno porque comparten servicios logísticos y bodegas. Las empresas de logística que programan la recogida de los contenedores en las terminales tenían en cola de espera a los camiones a las puertas de los recintos portuarios. “Si Maersk no encuentra una forma manual de restablecer el funcionamiento de las terminales y el problema informático no se resuelve a muy corto plazo estaremos ante un atasco comercial sin precedentes”, afirmo una fuente de una empresa de logística consultada por ICNreport.

El ataque con el Petya.A ha vuelto a exponer a la luz pública el efecto devastador sobre las redes corporativas de estas acciones. La página web de la mayor petrolera cotizada por producción, Rosneft de Rusia, estaba inactiva y la empresa informó del ataque por su cuenta de Tweeter. La petrolera afirmó que recientemente había migrado su sistema de control de reservas y que el ataque no había afectado “ni a la producción de petróleo ni a los procesos de preparación”. El Banco Central en Rusia informó que varios bancos habían sido afectados pero no el sistema bancario en su conjunto.

De acuerdo con información de fuentes del sector de la seguridad informática el ataque se pudo haber iniciado en Ucrania. Su mecanismo de acción consiste en reiniciar los ordenadores de una red tras lo cual aparece en pantalla un mensaje que advierte que el sistema está bloqueado y que para desbloquearlo es necesario pagar 300 dólares en Bitcoin a una cuenta determinada. De acuerdo con las mismas fuentes, el martes se habían registrado pagos en esa cuenta. La reiteración de un ataque informático en el lapso de un mes y con la proyección que ha adquirido este último al no haber encontrado una forma de neutralizarlo es una clara señal de que el mundo corporativo parece incapaz de reaccionar adecuadamente ante esta amenaza. Microsoft se mantenía mientras tanto en un silencioso segundo plazo.

Noticias Relacionadas

Director
Alfonso Pajuelo ( director@icnr.es )

Redacción (redaccion@icnr.es)

  • Juan José González
  • Javier Ardalán
  • Carlos Schwartz
  • Rafael Vidal

Intelligence and Capital News Report ®
es una publicación de Capital News Ediciones S.L.
Editor: Alfonso Pajuelo
C/ Joaquín María López, 30. 28015 Madrid
Teléfono: 92 118 33 20
© 2017 Todos los derechos reservados.
Prohibida la reproducción sin permiso expreso de la empresa editora.

Optimizado para Chrome, Firefox e IE9+

loading
Cargando...