Análisis de Seguridad

Se revela cómo comenzó a propagarse el último ransomware de alcance mundial

Los expertos de seguridad de ESET atribuyen este ataque al grupo que denominaron TeleBots. A su vez, identificaron el backdoor que fue inyectado por los atacantes en un Software contable

ESET, compañía especialista en detección proactiva de amenazas, identifica varios ataques del año 2016 vinculados al grupo que denominaron TeleBots, y que tuvieron como objetivo afectar varios sistemas informáticos de Ucrania, que se pueden definir como infraestructuras críticas. A su vez, revela la conexión de dicho grupo con el grupo BlackEnergy, responsable de los cortes de electricidad en Ucrania ocurridos en diciembre de 2015.

Siguiendo con la investigación, la compañía revela que en 2017, el grupo TeleBots continúa con sus ataques de forma más sofisticada. Entre enero y marzo de este año, sus integrantes comprometieron una compañía de software de Ucrania y, usando túneles VPN desde allí, obtuvieron acceso a las redes internas de muchas instituciones financieras.

Mientras que en junio de este año, llega el ataque con mayor repercusión y que afecta muchos sistemas informáticos de Ucrania y otros países, incluyendo algunos de Latinoamérica. Dicho ataque es encabezado por el malware que los productos de ESET detectan como Diskcoder.C (también conocido como ExPetr, PetrWrap, Petya o NotPetya). Este malware se hace pasar por un típico ransomware. Es decir, cifra los archivos y demanda 300 dólares como rescate. Pero la intención de sus autores era causar daño y corromper la información más que obtener el dinero, por lo que hicieron todo lo posible para hacer el descifrado de los archivos muy poco probable.

Según los análisis realizados, este ataque se inicia a partir de la inyección de un backdoor (tipo de troyano que permite el acceso al sistema infectado y su control remoto) en un software contable legítimo ucraniano llamado M.E.Doc. De este modo los atacantes lograron iniciar la propagación del malware DiskCoder.C.

A partir las últimas investigaciones, recomendamos que toda empresa que pueda tener algún tipo de relación con las compañías afectadas en Ucrania y Europa y que utiliza el software M.E.Doc, cambie las contraseñas de proxies y cuentas de correo electrónico a todos los usuarios de dicho software”, comenta Camilo Gutierrez, Jefe de Laboratorio de ESET Latinoamérica. “Como muestra nuestro análisis, esta es una operación altamente planificada y ejecutada con precisión. Asumimos que los atacantes tuvieron acceso al código fuente de la aplicación M.E.Doc. Tuvieron tiempo de conocer el código e incorporarle un backdoor bien sigiloso y astuto, que evita ser detectado fácilmente”, concluye el especialista.

Click para comentar

Deja una respuesta

Su dirección de correo no se hará público. Los campos requeridos están marcados *

Más populares

Brindamos la última y mejor información del mercado tecnológico, para los decisores en las áreas de TI, asi como los profesionales del sector TIC

En Tic News no solo te informamos, te ayudamos a decidir

Copyright © Tic News 2017, todos los derechos reservados

Ir arriba