El nou ciberatac: un virus molt ben fet que va paralitzar un país i nombroses multinacionals

La infecció, de tipus "ransomware", va inutilitzar milers d'ordinadors | Passat l'ensurt, queda la incertesa de quan i quin serà el proper atac, amb molta por especialment per les infraestructures crítiques

El nou virus paralitza Ucraïna i nombroses multinacionals
El nou virus paralitza Ucraïna i nombroses multinacionals | EP
28 de juny de 2017, 13:44
Actualitzat: 29 de juny, 12:22h
Aquest dimarts vam veure la cara de la ciberguerra: un virus molt ben fet, que afecta la majoria de versions del sistema operatiu Windows, va obligar grans empreses de tot el món a enviar els treballadors a casa i tancar portes. Però això no és el pitjor. El pitjor és que va paralitzar tot un país, Ucraïna, que porta mesos demanant ajuda perquè està sent utilitzat com a laboratori de proves de la III Guerra Mundial... i que s'ho agafa cada cop amb més filosofia.

Fa una setmana la revista nordamericana Wired va publicar un reportatge sobre la ciberguerra que pateix Ucraïna des de fa un parell d'any. Els atacs a les seves centrals elèctriques, que han deixat més d'una nit milers de ciutadans i ciutadanes sense llum en ple hivern, són coneguts arreu del món, però se sap menys que el país viu sota una pressió regular i constant d'atacs cibernètics contra les seves infraestructures, institutions i empreses.

L'anomenat "pacient zero" o primer lloc del món on es detecta la infecció és a Ucraïna

Ucraïna denuncia al reportatge que Rússia l'està utilitzant com a laboratori de proves d'atacs, alguns dels quals hauria fet servir contra els Estats Units després d'assajar-los a Ucraïna. Rússia ho nega tot i l'ajuda el fet que atribuir la font d'un atac a Internet és una tasca realment complicada. De fet, Rússia hauria estat el segon país més afectat del món en l'atac patit ahir, tot i que Ucraïna el guanya per moltíssima diferència, segons el fabricant d'antivirus Kaspersky

Un dels experts en ciberseguretat més reconeguts del món, The Grugq, ha destacat que, curiosament, les principals empreses russes atacades ahir, entre elles empreses estatals i alguna petroliera,  se n'han salvat "de miracle", sense ni una rascada

El pacient zero

A aquestes hores el brutal atac ha baixat molt d'intensitat i ja és posible fer-ne una pintura força completa. L'anomenat "pacient zero" o primer lloc del món on es detecta la infecció és a Ucraïna, a les 10.30 del matí. La víctima: una empresa que proveeix programari, necessari per interactuar amb el govern del país, a grans empreses i institucions. Segons la policia ucraniana, el paquet de programari MeDoc va ser infectat i aquell matí va enviar una actualització automàtica a tots els seus usuaris, que incloïa un ransomware.

El resultat va ser l'apocalipsi en poques hores: companyies elèctriques, mitjans de comunicació, bancs, el metro de Kiev, l'aeroport, la central de Txernòbil...Tothom es va infectar amb aquest ransomware, al qual s'ha anomenat Petya perquè possiblement forma part de la família de virus Petya, actiu des de finals del 2015, tot i que hi ha grans discrepàncies entre els experts. La llista de fitxers que xifra el ransomware és important: arxius d'Office, comprimits, pdf, fitxers de màquines virtuals, còpies de seguretat, codi font i bases de dades.

També xifra el Registre d'Arranc Mestre, de forma que fa impossible poder accedir al sistema operatiu i deixa l'ordinador totalment inutilitzat. Només hi ha dues alternatives: guardar-lo en un racó amb l'esperança que, algun dia, algú descobreixi com desxifrar-lo, o bé pagar un rescat de 300 dòlars per màquina als delinqüents, en Bitcoins. 

9.050 euros

Les deficiències en el pagament del rescat de Petya recorden l'atac del ransomware Wannacry, al mes de maig, en el sentit que fa la impressió que als atacants no els importa gens cobrar o no els diners. En comptes de fer servir diversos moneders Bitcoin perquè els infectats i ingressin els diners, en fan servir només un, on es veu que hi ha hagut 42 pagaments que sumen 4 Bitcoins, uns 9.050 euros, poca cosa per l'atac que acabem de veure.

A més de tenir només un moneder, calia posar-se en contacte i negociar amb una adreça de correu, [email protected], que el virus indicava com a adreça de contacte. Però els responsables del servei de correu gratuït Posteo.net van bloquejar a mitja tarda aquesta adreça, convertint així en inútil l'acte de pagar els Bitcoins perquè no hi havia forma que l'atacant pogués saber com contactar amb la víctima i enviar-li la clau de desxifrat, en cas que hagués fet el pagament.

Avui fa la impressió que Wannacry va ser un assaig que preparava l'atac de veritat, altament destructiu i fulminant, de Petya

El motiu, doncs, fa la impressió de no haver estat econòmic. Mentrestant, a aquestes alçades de la pel·lícula grans empreses de tot el món occidental s'havien infectat també, per altres mètodes diferents de l'ucranià. Mètodes que recorden altra vegada el darrer gran atac del virus Wannacry. Llavors érem davant un ransomware estrafet, que semblava haver-se escapat abans que l'acabessin de fer, amb errors que van permetre parar-lo de seguida i que li van donar el sobrenom de Frankenstein. Avui, però, fa la impressió que Wannacry va ser un assaig que preparava l'atac de veritat, altament destructiu i fulminant, de Petya.

Un virus molt llest

Aquest ransomware, que viatge dins un cuc electrònic que li obre les portes, té diverses estratègies per entrar als ordinadors aliens. La principal son els missatges de correu electrònic falsos que porten un fitxer adjunt que simula ser un Excel. Quan es fa clic al fitxer, fa veure que va a buscar el document al núvol, però en realitat va a un lloc del ciberespai on el virus espera per ser descarregat.

Un cop a dins de l'ordinador, el ransomware busca com infiltrar-se a la xarxa corporativa. Primer intenta la mateixa estratègia que feia servir Wannacry: mira si els ordinadors tenen un forat al protocol de compartició de fitxers SMB, que es pot atacar amb un programa maliciós creat per la National Security Agency nordamericana, EternalBlue, el qual el grup de hackers ShadowBrokers va robar als serveis secrets i va difondre a Internet.

Som per tant davant un codi complex, fet molt possiblement per professionals que han tingut cura no només del virus, sinó també de com propagar-lo de la forma més efectiva.

Teòricament, les empreses haurien de tenir aquest forat tancat, donat l'enrenou que va provocar fa un mes Wannacry quan va atacar la mateixa debilitat. Però els alts graus d'infecció de Petya demostren que no ha estat així. Per altra banda, encara que l'empresa tingui solucionat aquest forat, el virus en prova d'altres de forma automatitzada.

Som per tant davant un codi complex, fet molt possiblement per professionals que han tingut cura no només del virus, sinó també de com propagar-lo de la forma més efectiva. Un codi que aprofita informació robada als serveis secrets dels Estats Units per un grup de hackers que alguns consideren russos. I que ha atacat especialment un país odiat per Rússia com és Ucraïna. Alguns han afegit interès a aquesta pel·lícula en recordar-nos que el mateix dia d'ahir va ser assassinat el cap de la Intel·ligència a Ucraïna.

"Només acaba de començar"

Lluny de les especulacions polítiques i de ciberguerra, tècnics de tot el món van treballar ahir a contrarellotge i de forma coordinada via Twitter, entre altres mitjans de comunicació, per entendre què estava passant i a què s'enfrontaven. A la matinada havien aconseguit trobar un parell de remeis, que mitiguen però no són la panacea. En concret eviten que els arxius de l'ordinador infectat siguin xifrats.

De totes formes, passat l'ensurt queda la incertesa de quan i quin serà el proper atac, amb molta por especialment per les infraestructures crítiques, que tothom sap que són altament insegures arreu del món. "Això només acaba de començar", avisava algú ahir a Twitter. No deia res de nou, parlava per tots els tècnics que contemplen els esdeveniments, bocabadats per la fascinació de la ciberguerra mai vista però també per la sensació d'estar en mans d'algú cada cop més poderós. 

Avui al matí, el grup de hackers que va robar les ciberarmes a la intel·ligència nordamericana i les va donar al món, ShadowBrokers, ha reaparegut al seu compte de Twitter. Han criticat alguns dels principals experts en ciberseguretat d'Europa i els Estats Units i han assegurat que són col·laboradors dels serveis d'intel.ligència governamentals i d'Equation Group, la divisió de ciberguerrers dels Estats Units que van inventar aquestes armes. La lluita continua però pocs saben cap on.



 
Arxivat a