El Centro Criptológico del CNI concluye que el ciberataque no afectó al sector público

El sector público y las empresas estratégicas españolas no se han visto afectadas por el ciberataque mundial, según concluye el Centro Criptológico Nacional (CCN-CERT), adscrito al Centro Nacional de Inteligencia (CNI).

En un balance sobre el ataque, el CCN-CERT resalta que los primeros casos se detectaron en empresas ubicadas en Ucrania y afectó posteriormente a algunas multinacionales con sede en España, y precisa que no se ha detectado ningún organismo del sector público o empresa estratégica española afectada.

Apunta al uso de una variante englobada en la familia Petya (también llamado Petya, Petna, PetrWrap, Nyetya y NotPetya).

El código dañino utilizado es más sofisticado que en el caso de WannaCry y, en esta ocasión, podría tratarse de un ataque más dirigido ya que la detección inicial del mismo fue localizada con una rápida expansión posterior.

Además, añade el balance, da la sensación de que el agresor no parece pretender obtener un beneficio económico, sino perjudicar a las víctimas, ya que no ha adoptado las medidas habituales para conseguir el anonimato y la disponibilidad del servicio de cobro propia de otras campañas de cibercrimen.

En este sentido, el proveedor de servicio de Internet ha bloqueado la dirección de correo utilizada para el pago del rescate, por lo que las víctimas no pueden obtener las claves de recuperación al inhabilitar la vía de comunicación con el atacante.

Sobre las vacunas, el CCN se remite al investigador Amit Serperint, que apunta que para evitar la infección por una de las variantes conocidas existe la opción de crear en el equipo varios ficheros (con los nombres perfc.dat, perfc.dll y perfc) en la carpeta c:\Windows. De esta manera el binario interpreta que ya tiene la librería infectada y detiene el procedimiento de infección.

El CCN recomienda aplicar los parches de seguridad existentes para MS Office y sistemas Windows, mantener actualizados las aplicaciones Antivirus y extremar las precauciones para evitar acceder a correos o enlaces no legítimos.

Por otra parte, para evitar una de las vías de propagación, se puede inhabilitar el acceso a las carpetas compartidas con nombre Admin y Admin$ en la red local.

Igualmente, recomienda activar AppLocker para bloquear la ejecución de la herramienta PsExec de la suite de Microsoft Sysinternals, e inhabilitar la ejecución remota de WMI.

En el caso de la detección temprana de una infección, se recomienda apagar el ordenador lo más rápido posible y, si ya se hubiera iniciado la propagación a otros equipos, aislarlos en redes VLAN sin conectividad con otras redes.

Además recomienda realizar copias de seguridad y aplicar las medidas de seguridad dispuestas en el informe del CCN-CERT contra el “ransomware”.

El CCN-CERT recuerda que efectuar el pago por el rescate del equipo no garantiza que los atacantes envíen la utilidad y contraseña de descifrado, sólo premia su campaña y les motiva a seguir distribuyendo masivamente este tipo de código dañino.

En cualquier caso, en esta campaña se ha inhabilitado el medio de pago proporcionado por el atacante.