ESET identifica varios ataques de 2016 que tuvieron como objetivo afectar varias infraestructuras críticas de Ucrania, los cuales derivaron en la última oleada de ransomware global de Diskcoder.C, también conocida como ExPetr, PetrWrap, Petya o NotPetya.
La empresa señala que TeleBots, grupo encargado de los ataques, los continuó en 2017 de forma más sofisticada: entre enero y marzo de este año, sus integrantes comprometieron una compañía de software de Ucrania y, usando túneles VPN desde allí, obtuvieron acceso a las redes internas de muchas instituciones financieras.
Luego, en junio, llegó el ataque con mayor repercusión y que ha afectado múltiples sistemas informáticos de Ucrania y otros países, incluyendo algunos de Latinoamérica: el malware Diskcoder.C se hace pasar por un típico ransomware, pero la intención de sus autores es causar daño y corromper la información más que obtener el dinero. Así, provocan que el descifrado de los archivos sea muy poco probable.
El ataque se inicia a partir de la inyección de un backdoor (tipo de troyano que permite el acceso al sistema infectado y su control remoto) en un software contable legítimo ucraniano llamado M.E.Doc, desde donde logró propagarse.
Camilo Gutierrez, Jefe de Laboratorio para Latinoamérica, afirma: ‘A partir las últimas investigaciones, recomendamos que toda empresa que pueda tener algún tipo de relación con las compañías afectadas en Ucrania y Europa, y que utiliza el software M.E.Doc, cambie las contraseñas de proxies y cuentas de correo electrónico a todos los usuarios de dicho software’.
‘Como muestra nuestro análisis, esta es una operación altamente planificada y ejecutada con precisión. Asumimos que los atacantes tuvieron acceso al código fuente de la aplicación M.E.Doc; tuvieron tiempo de conocer el código e incorporarle un backdoor bien sigiloso y astuto, que evita ser detectado fácilmente’, concluye.
