ESET revela cómo se propagó último ransomware de alcance mundial

0
931

Los expertos de seguridad de la compañía atribuyen este ataque al grupo que denominaron TeleBots. A su vez, identificaron el backdoor que fue inyectado por los atacantes en un Software contable.

ESET, compañía líder en detección proactiva de amenazas, identifica varios ataques del año 2016 vinculados al grupo que denominaron TeleBots, y que tuvieron como objetivo afectar varios sistemas informáticos de Ucrania, que se pueden definir como infraestructuras críticas. A su vez, revela la conexión de dicho grupo con el grupo BlackEnergy, responsable de los cortes de electricidad en Ucrania ocurridos en diciembre de 2015.

Siguiendo con la investigación, la compañía revela que en 2017, el grupo TeleBots continúa con sus ataques de forma más sofisticada. Entre enero y marzo de este año, sus integrantes comprometieron una compañía de software de Ucrania y, usando túneles VPN desde allí, obtuvieron acceso a las redes internas de muchas instituciones financieras.

Mientras que en junio de este año, llega el ataque con mayor repercusión y que afecta muchos sistemas informáticos de Ucrania y otros países, incluyendo algunos de Latinoamérica. Dicho ataque es encabezado por el malware que los productos de ESET detectan como Diskcoder.C (también conocido como ExPetr, PetrWrap, Petya o NotPetya). Este malware se hace pasar por un típico ransomware. Es decir, cifra los archivos y demanda 300 dólares como rescate. Pero la intención de sus autores era causar daño y corromper la información más que obtener el dinero, por lo que hicieron todo lo posible para hacer el descifrado de los archivos muy poco probable.

Según los análisis realizados, este ataque se inicia a partir de la inyección de un backdoor (tipo de troyano que permite el acceso al sistema infectado y su control remoto) en un software contable legítimo ucraniano llamado M.E.Doc. De este modo los atacantes lograron iniciar la propagación del malware DiskCoder.C.

“A partir las últimas investigaciones, recomendamos que toda empresa que pueda tener algún tipo de relación con las compañías afectadas en Ucrania y Europa y que utiliza el software M.E.Doc, cambie las contraseñas de proxies y cuentas de correo electrónico a todos los usuarios de dicho software”, comenta Camilo Gutierrez, Jefe de Laboratorio de ESET Latinoamérica. “Como muestra nuestro análisis, esta es una operación altamente planificada y ejecutada con precisión. Asumimos que los atacantes tuvieron acceso al código fuente de la aplicación M.E.Doc. Tuvieron tiempo de conocer el código e incorporarle un backdoor bien sigiloso y astuto, que evita ser detectado fácilmente”, concluye el especialista.

Para obtener más información sobre este análisis, ingrese a: https://www.welivesecurity.com/la-es/2017/06/29/todo-sobre-nuevo-ataque-de-ransomware/