Entradas

Nuevo ciberataque masivo afecta a empresas de todo el mundo

Nuevo ciberataque masivo afecta a empresas de todo el mundo

Mes y medio después del ciberataque WannaCry pusiera en jaque a cientos de empresas y multinacionales en todo el mundo, los piratas informáticos han vuelto a aparecer contra organismos públicos y privados. Se trata de un virus de tipo ransomware que ya habría atacado varios sistemas informáticos en todo el mundo en 2016. Desde Kaspersky señalan que “se trata de un nuevo ransomware, que nunca antes se había visto” al que han bautizado como NotPetya.

Por el momento, la lista de afectados la componen al menos 80 empresas de diversos sectores localizadas en países como Reino Unido, Estados Unidos, Francia, Rusia, España, India y Ucrania. En ella se encuentran algunas como la multinacional alimentaria Mondelez, que es dueña de marcas como Oreo, Tang, Milka o Toblerone, la empresa de publicidad británica WPP, NiveaAuchan (Alcampo), el laboratorio Merck Sharp & Dohme, la petrolera rusa Rosneft y varias infraestructuras críticas de Ucrania como su Banco Nacional, los sistemas informáticos de sus aeropuertos, la compañía estatal de energía e, incluso, los sistemas de medición de radiación de Chernobil.

Según informa la agencia AFP, el virus tiene su origen en Rusia y Ucrania y, de ahí, se está propagando a nivel global. A la espera de conocer la incidencia real del ataque, investigadores de la empresa rusa de ciberseguridad Kaspersky avisan que el virus se extiende “por el mundo entero y sostienen que un gran número de países están afectados”.

El Centro Criptológico Nacional ha informado en un comunicado de prensa de que se han visto afectadas “varias multinacionales con sede en España”, sin entrar en más detalles. Asimismo, a lo largo de las últimas horas, la web del CERT de Seguridad e industria, que informa en tiempo real sobre la respuesta a incidentes, ha registrado un aumento de las incidencias y actualmente cifra en nivel de alerta en un 49%.

Entre los afectados en nuestro país se encuentra la naviera APM terminales, el principal grupo industrial de Dinamarca, que se ha visto obligada a cerrar su terminal ubicada en el Puerto de Barcelona a causa del ransomware. “Hemos cerrado la terminal por motivos de seguridad porque lo primero es la seguridad de nuestros empleados. Estamos intentando resolver la situación para volver a la actividad habitual”, han explicado a Europa Press fuentes de APM Terminals en Barcelona. En total, el ciberataque ha afectado a 17 terminales de carga controladas por la empresa, entre los que se encuentran el de Rotterdam y el de la Ciudad Condal.

Mientras tanto, en la misma línea que el Centro Criptológico Nacional, desde McAfee trabajan con la hipótesis de que el virus que ha provocado el ataque son “variantes modificadas de Petya” sobre las que están recibiendo “múltiples informes”. Raj Samani, responsable de inteligencia estratégica de McAfee, asegura que “este brote no parece ser tan grande como WannaCry pero el número de organizaciones que han sido afectadas es considerable. Según los datos que tenemos hasta ahora, parece que se está usando el mismo método de propagación que WannaCry. Cualquiera que ejecute sistemas operativos que no hayan sido parcheados con motivo de la aparición de WannaCry, podría ser vulnerable a este ataque”.

Al igual que sucedió en el mes de mayo con WannaCry, el sistema empleado en esta ocasión por los piratas informáticos es el del ransomware. Una variante que consiste atacar un sistema informático, encriptar los archivos y solicitar un pago a la víctima a cambio de liberar la información.

El virus muestra unas letras rojas sobre un fondo negro con un mensaje en inglés que reza: “Si estás viendo este texto, tus archivos ya no se encuentran accesibles porque han sido encriptados. Tal vez estés muy nervioso buscando un modo de recuperar tus archivos, pero no malgastes tu tiempo. Nadie puede recuperar tus archivos sin nuestro servicio de desencriptado“.

A continuación, el mensaje explica que para desencriptar la información es necesario pagar 300 dólares en Bitcoin y enviar la identidad del monedero virtual de la empresa que ha sufrido el ataque junto con un código de verificación que los piratas muestran en las pantallas de los afectados.

Una vez hecho esto, los piratas prometen recuperar “toda la información de un modo fácil y seguro” a través de un código de desactivación que prometen enviar.

Este programa malicioso presenta un aspecto estrambótico al ejecutarse y ha podido ser replicado por el experto en ciberseguridad, Enrique Serrano. “Me he descargado el ransomware , he creado una máquina virtual para evitar que se afecte el sistema y he ejecutado el virus en el sistema haciendo doble click en el fichero. Entonces, salta una pantalla similar al fallo de windows, se reinicia el sistema y el virus modifica el arranque de windows. Entonces, te aparece la imagen de una calavera, te pide que pulses cualquier tecla y salta la pantalla con las instrucciones”, explica.

A diferencia de WannaCry, que comenzaba a cifrar los archivos según se ejecutaba el ransomware, esta modificación de Petya hace que el ordenador deba reiniciarse.

Además, Serrano avisa de que es muy posible que actualmente esté circulando más de una versión de este virus. “Cuando un ciberataque funciona, la gente lo personaliza a para su propio beneficio” buscando ser ellos quienes exploten la debilidad para ganar dinero.

virus judy

El virus Judy ha infectado millones de dispositivos Android

virus judy

No hay ningún sistema operativo seguro hoy en día, pero una cosa está clara: cuanto más popular es, más riesgo se corre de que haya virus que lo infecten y que fastidien a sus usuarios. Ese es el caso de Android con el nuevo virus Judy, que ya ha afectado a más de 36,5 millones de dispositivos.

La voz de alarma la dio la semana pasada la firma de seguridad Check Point, que fueron quienes le pusieron ese nombre más propio de un huracán que de un virus y quienes advirtieron de que el malware está pensado para generar ingresos por publicidad a costa de los dispositivos que infecta.

Judy se ha extendido por más de 41 aplicaciones distintas de la Play Store y puede infectar dispositivos mediante su instalación, algo que el usuario nunca sabe de antemano. Esta estrategia revela que existe alguna vulnerabilidad en los sistemas que examinan las apps antes de subirlas a su tienda. No está claro, sin embargo, si el virus lleva poco tiempo actuando o mucho tiempo más, pues algunas de las aplicaciones infectadas por llevan en la Play Store años.

Así, cuando se instala una de estas apps, el móvil o tablet empieza a comunicarse con unos servidores a espaldas del usuario para generar visualizaciones de anuncios de forma fraudulenta, lo que generaría ingresos a los responsables de la infección y lo que reduciría la batería y el rendimiento en gener5al del dispositivo.

Google ya está al tanto de esta infección y ha retirado las apps infectadas de su PlayStore, por lo que el riesgo de nuevas infecciones es mucho menor. Aquellos que las tengan instaladas, sin embargo, aún corren riesgos.

Familia-malware

¿Conoces a los miembros de la familia del malware?

Aunque en el lenguaje común la mayoría de las amenazas informáticas se conocen como virus, no todos los tipos de malware son conocidos de esta forma. En esta entrada de blog vamos a desgranar algunos de los diferentes tipos de amenazas que pueden infectar nuestro ordenador.

Familia-malware

El primero, y más conocido, es el virus. Como ya hemos dicho anteriormente, no todos los malware son virus ni todos los virus son malware. Este tipo de amenaza informática se propagan por el ordenador infectando archivos y de un ordenador a otro a través de archivos previamente infectados o de enlaces de descarga en páginas web. A continuación pasamos a los gusanos o worm, como se les conoce en el mundo anglosajón. Se diferencian de los anteriores en que se instalan en el dispositivo a través de descargas de archivos o de webs pero no infectan archivos ya existentes.

Los troyanos son un tipo de malware que se adentra en el equipo teniendo una apariencia de un programa legítimo, que el usuario descarga y ejecuta sin sospechar nada. Otra de las amenazas son los ‘ransomware’, un programa informático que restringe el acceso al usuario a determinados archivos del sistema infectado y pide un ‘rescate’ económico a cambio de eliminarla.

Seguimos con los llamados ‘rootkit‘, que son un tipo de malware sigiloso que aprovecha su instalación en el equipo para conseguir información relevante. Es complejo detectarlos, ya que sortean los antivirus convencionales. Los backdoor o RAT (remote administration tools) permiten abrir una puerta trasera en el sistema para que cualquiera pueda instalar programas, eliminar archivos, encender micrófonos o cámaras sin consentimiento…

Y terminamos con los conocidos como ‘downloader‘, que tiene por cometido la descarga e instalación de código malicioso en el dispositivo infectado. Normalmente, es uno de los más empleados por los ciberdelincuentes.