CNNE 425126 - hackers

(CNNMoney) – Un ataque masivo ransomware afectó a empresas de todo el mundo, provocando que grandes compañías apagaran sus sistemas informáticos.

Los investigadores todavía están investigando el software detrás del ataque, advirtiendo que es más sofisticado que el WannaCry que afectó a cientos de miles de computadoras en todo el mundo el mes pasado.

“WannaCry fue un tremendo fracaso. Había mucho ruido, muy poco dinero, y todo el mundo se dio cuenta de ello”, dijo Craig Williams, experto de la firma de seguridad cibernética Cisco Talos. “Lo que estamos viendo hoy es un gusano mucho más inteligente”.

Grandes marcas globales -como Mondelez, el fabricante de galletas Oreo, y el gigante de la publicidad británica WPP- dicen que sus sistemas informáticos están experimentando problemas.

Esto es lo que necesitas saber sobre este ataque:

¿Qué ocurre?

El ransomware infecta ordenadores y bloquea sus discos duros. Exige un rescate equivalente a 300 dólares en la moneda digital Bitcoin.

Miembros de las fuerzas de seguridad cibernética y expertos coinciden en que las víctimas no deben pagar ningún rescate.

¿Cómo se propaga?

Los investigadores dicen que el virus ransomware es un gusano que infecta redes al pasar de un ordenador a otro.

Se utiliza una herramienta de hackeo denominada EternalBlue, que se aprovecha de una debilidad en Microsoft Windows. Microsoft lanzó un parche en marzo, pero no todas las empresas lo han utilizado.

EternalBlue estaba entre un grupo de herramientas de hackeo filtradas a principios de este año que se cree que pertenecían a la Agencia Nacional de Seguridad de Estados Unidos (NSA, por sus siglas en inglés).

¿Soy vulnerable?

Los usuarios que tienen al día sus computadoras Windows están a salvo de este ataque, según los expertos. Sin embargo, si hay una computadora no actualizada en la red de una empresa, podría infectar a otros ordenadores conectados.

¿Cuándo empezó?

Los investigadores todavía están valorando qué pasó exactamente. Pero Cisco Talos dijo que una forma en la que el ransomware se metió en los sistemas informáticos fue a través de software en Ucrania, un país que resultó especialmente afectado por los ataques.

Una compañía ucraniana llamada Médoc envió una actualización comprometida a su software de impuestos que contenía el malware, infectando los ordenadores que la estaban ejecutando, dijo Williams, el experto en seguridad de Cisco Talos.

Las autoridades ucranianas confirmaron el vínculo con Médoc. La compañía no respondió a una solicitud de comentarios.

¿Quién resultó afectado?

Grandes empresas internacionales con sede en Europa y EE.UU. fueron objeto del ataque. Entre ellas, el gigante ruso de gas y petróleo Rosneft, la naviera danesa Maersk, la compañía farmacéutica estadounidense Merck y el bufete de abogados DLA Piper.

Compañías ucranianas resultaron especialmente afectadas. Bancos, oficinas gubernamentales, el servicio postal y el sistema de metro de Kiev estaban experimentando problemas, dijeron las autoridades. El ransomware también causó problemas en el sistema de monitoreo de la Central Nuclear de Chernobyl.

Todavía no está claro el impacto en empresas de la región de Asia-Pacífico.

Mondelez dijo que sus cinco plantas de producción en Australia y Nueva Zelandia habían resultado afectadas, pero que algunas podían llevar a cabo una producción limitada.

“Hay, obviamente, empresas afectadas por esto en Asia”, dijo Michael Gazeley, director gerente del proveedor de seguridad cibernética Box, con sede en Hong Kong, Red Box. “Sin embargo, los niveles de éxito son menores, ya que están atacando las mismas vulnerabilidades que WannaCry”.

¿Quién está detrás de esto?

Es todavía demasiado pronto para decir quién podría ser responsable de liberar el virus.

Las agencias de inteligencia y los investigadores de seguridad han vinculado WannaCry, el ataque del mes pasado, a un grupo asociado con Corea del Norte. Pero no está claro si está conectado el nuevo gusano ransomware.

¿Cuan diferente es en relación con WannaCry?

Al igual que WannaCry, el nuevo ataque ransomware utiliza la herramienta EternalBlue para extenderse. Pero los investigadores dicen que también usa otras partes de Windows para infectar las computadoras, incluyendo las credenciales de usuario.

A diferencia de WannaCry, bloquea todo el disco duro en lugar de sólo los archivos. Y no ataca a través de internet de la manera que lo hizo WannaCry, sino que se extiende dentro de las redes de una empresa.

“Parece que los encargados de esta campaña han aprendido mucho de WannaCry”, dijo Itay Glick, el presidente ejecutivo de la compañía de seguridad cibernética israelí, Votiro.

Alec Macfarlane y Bex Wright contribuyeron con este reporte.