Siguen los ataques ransomware: empresas ubicadas en España y Ucrania están siendo víctimas de un ciberataque

Siguen los ataques ransomware: empresas ubicadas en España y Ucrania están siendo víctimas de un ciberataque
13 comentarios Facebook Twitter Flipboard E-mail
Hemos actualizado con la información que ha facilitado el Centro Criptológico Nacional (CCN-CERT) acerca de la naturaleza del ataque y cómo combatirlo, así como con otros afectados confirmados.

Hace algo más de un mes de aquel ciberataque a Telefónica que secuestraba los equipos de la empresa pidiendo un rescate. Con ello supimos de WannaCry, así como de sus variantes, y ya vimos que seguía propagándose, y hoy han sido las sedes españolas de dos grandes multinacionales las afectadas por un ataque de ransomware.

De ello hemos sabido por El Confidencial, que ha tenido acceso a informaciones provenientes de Mondelez y DLA Piper, las empresas afectadas. Desde el periódico aseguran que las oficinas están totalmente paralizadas y que se está aplicando la prohibición de encender equipos o entablar comunicaciones como vimos en el estado de excepción por el ataque del mes pasado.

Además, recientemente el Centro Criptológico Nacional (CNN-CERT) ha confirmado el ataque a las sedes españolas de varias multinacionales, describiendo su propagación como "similar a la de WannaCry" y confirmando que es una variante de Petya. También indica los pasos a seguir en el caso de estar afectados y las herramientas.

Mismo modus operandi: un rescate por la información secuestrada

Aunque no hemos podido confirmar aún que se trate o no de WannaCry de manera específica, al parecer el ataque se ha producido de manera muy parecida a éste, con mensajes en los ordenadores indicando que la información no era accesible al usuario y pidiendo un rescate, en este caso de 300 dólares. De momento lo que vemos es que ya se han emitido dos transferencia por ese valor, que en bitcoins son unas 0,124.

El ataque, no obstante, parece que no se limita sólo a empresas cuyas sedes se ubican en España, dado que están empezando a saltar alarmas en Ucrania. La pantalla que se muestra en los ordenadores es distinta a la que vimos con WannaCry:

Ransomware
La imagen es la misma que se ha visto en las sedes españolas de DLA Piper. (Fuente: Censor.net.ua)

Cada vez más afectadas

La empresa que de momento confirma el ataque en Ucrania ha sido la energética Kyivenergo, que ha comunicado de manera pública que han sufrido un ataque hace algo más de dos horas y que debido a ello tuvieron que apagar todos sus equipos. En estos momentos esperan el permiso del Servicio de Seguridad Ucraniano (SBU) para poderlos reiniciar.

Por otro lado, el Banco Nacional de Ucrania ha advertido a los bancos y otros participantes del sector financiero del exterior que ha habido un ciberataque de naturaleza desconocida en varios bancos de Ucrania y algunas empresas comerciales y del sector público. Los afectados están experimentando dificultades para ejercer sus servicios y se encuentran reforzando medidas de seguridad, según comunican.

Aunque parece que los países afectados podrían ser más, dado que en el caso de Mondelez (una de las empresas cuya sede española ha sido afectada) la caída habría afectado a los equipos de más países. Las fuentes aseguran que compañeros de Polonia, Suiza, Inglaterra y otras localizaciones informan de que no funciona ningún equipo en ninguna fábrica.

Otra empresa que también ha sido afectada de manera global es el laboratorio MSD, según ha podido saber Xataka por fuentes internas. En los ordenadores de la empresa también ha aparecido la misma pantalla, donde vemos la especificación de los 300 dólares, y se ha ordenado el bloqueo de todos los equipos y comunicaciones.

Msd

A casa sin poder trabajar, y con mucho que hacer para solucionarlo

Cuando ocurrió el ataque del pasado mes de mayo con WannaCry y sus versiones, vimos que ante el peligro de ser contagiadas varias empresas tomaban precauciones en cuanto a sus equipos y comunicaciones. En este caso las actuaciones de las que estamos sabiendo son a posteriori, cuando los equipos ya han mostrado la fatídica pantalla, dando incluso por perdida la información como en el caso de Mondelez (según afirman las fuentes de Teknautas).

Además de en los laboratorios MSD, en la energética ucraniana y en las entidades afectadas de dicho país, el bufete DLA Piper también habría ordenado en la sede afectada que se apagasen los equipos informáticos, prohibiéndose el envío de correos electrónicos o emitir cualquier tipo de comunicación. También hay voces que afirman que se ha enviado a los empleados a casa, de igual manera que vimos con el caso de Telefónica y otras empresas.

Como decíamos al inicio, por el momento se habla de una variante de la familia de malware Petya, para el cual existen ya herramientas para combatirlo y que usa el exploit EternalBlue (el mismo que WannaCry y EternalRock). Puede también que aún haya más afectados, de hecho la danesa Maersk ha confirmado posteriormente que estaba afectada y también el aeropuerto internacional Boryspyl de Kiev, como informan en Reuters.

Seguiremos atentos a los acontecimientos, a la espera de confirmar que se trate o no de Petya y de ver si hay más empresas y países afectados. Parece que la guerra contra el ransomware no ha hecho más que empezar y que es evidente que hay trabajo que hacer en reforzar los protocolos y sistemas de seguridad.

En Xataka | Qué es el ransomware, cómo actúa y cómo prevenirlo

Comentarios cerrados
Inicio