Blog Historias Interfell

NotPetya: Crónica del hackeo más devastador de la historia

El 27 de junio de 2017, una de las empresas más importantes del mundo fue sometida a uno de los hackeos más críticos de la historia. El día transcurría con total normalidad en el Centro de Ayuda Tecnológica de la empresa ucraniana A.P. Møller-Maersk con sede en Copenhague, cuando repentinamente, en las pantallas de los ordenadores apareció el siguiente mensaje en letras rojas:

“oops, sus archivos importantes están encriptados”, además de una advertencia de no apagar los equipos.

Los trabajadores quedaron absortos ante tal evento, por un momento pensaban que dicha interrupción habría sido propiciada por el Departamento Central de IT de Maersk, lamentablemente, más tarde descubrieron que no fue así. A pesar de sus intentos por reiniciar los equipos en reiteradas oportunidades, los mensajes de bloqueo en letras rojas continuaban en sus pantallas. Definitivamente algo no marchaba bien.

En cuestión de media hora el caos reinaba por los pasillos de la empresa. Los empleados advertían al resto que desconectarán los equipos de la red de Maersk para evitar que el presunto malware las contagiara. El personal del departamento de IT actuó lo más rápido posible, incluso interrumpieron reuniones para desconectar los ordenadores y evitar mayores daños, en corto tiempo pudieron advertir al resto de los empleados sobre el ataque de este malware desconocido, sin embargo, el panorama no era alentador.

Transcurrieron dos angustiosas horas para que el departamento de IT lograra desconectar toda la red global de Maersk. Finalizado esto, se ordenó a los empleados apagar y dejar sobre sus escritorios sus computadoras y teléfonos digitales, los cuales ante este ataque, habían quedado inservibles. Aproximadamente a las 3 de la tarde, un ejecutivo entró a un salón donde había más de una docena de empleados de IT ansiosos por tener noticias sobre el evento. La orden fue irse a casa ¿Qué estaba pasando? Era la interrogante que albergaba la mente de todos los trabajadores.

En este punto, se había determinado que la red de Maersk estaba tan profundamente corrompida que incluso el equipo de IT no podía revertir ningún daño. A esta hora, ya la mayoría de los empleados se había retirado, con la incertidumbre de no saber cuándo retornarían a sus labores, cuando se resolvería tan confusa situación. Indiscutiblemente, el gigante marítimo responsable de 76 puertos y unas 800 embarcaciones marinas, había naufragado. Maersk había sido víctima de un hackeo garrafal.

Pero ¿quiénes eran los responsables de este ciberataque? ¿Desde dónde lo habían efectuado?

Meses antes, durante la primavera de 2017, unos piratas informáticos militares rusos intervinieron los servidores que enviaban actualizaciones de rutina a los usuarios de un software de contabilidad llamado M.E.Doc, utilizado por casi cualquier persona o empresa que declarase impuestos o hiciera negocios en Ucrania. Dicha intervención les permitió abrir una especie de puerta trasera oculta en las miles de computadoras del país -y del mundo- que tienen instalado el M.E.Doc. Fue desde allí donde se inició el ciberataque más devastador desde la invención del Internet.

Más tarde, en junio de este mismo año, los piratas informáticos utilizaron esta puerta trasera para introducir un malware llamado NotPetya, su arma más agresiva. El código infiltrado por estos saboteadores fue diseñado a la perfección para propagarse automática, rápida e indiscriminadamente, como en efecto, sucedió. Para descodificar la información encriptada, pedían un pago de 300 dólares en Bitcoins.

El lanzamiento de NotPetya fue un acto de ciberguerra más explosivo incluso de lo que esperaban sus creadores. A pocas horas de su instalación, el malware trascendió las fronteras ucranianas afectando a innumerables ordenadores en todo el mundo, desde hospitales en Pensilvania, hasta una fábrica de chocolates en Tasmania. Además de Maersk, dicho ataque debilitó a grandes compañías multinacionales como la filial europea de Fedex, el gigante farmacéutico Merck, e incluso se extendió a Rusia afectando la compañía petrolera estatal Rosneft. A todas, ocasionó pérdidas de hasta 9 cifras. ¿Qué tenía ese malware que lo hacía tan agresivo? ¿Cómo lo hicieron?

Los arquitectos de NotPetya combinaron su llave maestra digital con un malware más antiguo llamado Mimikatz creado como una prueba de concepto por el investigador de seguridad francés Benjamin Delpy en 2011. Delpy lanzó Mimikatz para demostrar que Windows almacenaba las contraseñas de los usuarios en la memoria de las computadoras. Una vez que los hackers obtuvieron acceso inicial a un ordenador, Mimikatz pudo sacar las contraseñas de la RAM y usarlas para hackear otras máquinas accesibles con las mismas credenciales.

La principal característica de NotPetya es que éste encripta irreversiblemente los registros maestros de arranque de las computadoras, la parte profunda de una máquina que le dice dónde encontrar su propio sistema operativo, por lo que cualquier intención de pago de rescate que las víctimas intentaron hacer fue inútil. No existía ninguna clave para reordenar el ruido codificado del contenido de su computadora.

El resultado del lanzamiento de este código malicioso tan agresivo se cuantificó en más de 10 mil millones de dólares en daños totales, resultados arrojados en una evaluación de la Casa Blanca hecha por el ex asesor de Seguridad Nacional Tom Bossert, quien en el momento del ataque era el principal funcionario del presidente Trump enfocado en la ciberseguridad. Bossert en conjunto con las agencias de inteligencia de EE.UU confirmaron en febrero de 2018 que el ejército de Rusia -principal sospechoso de cualquier ataque de ciberguerra contra Ucrania- fue en efecto el responsable del este atentado. Ante dicha acusación, el Ministerio de Relaciones Exteriores ruso se negó a responder cualquier tipo de entrevista y/o comentarios.

A escala nacional, NotPetya estaba devorando las computadoras de Ucrania. Al menos cuatro hospitales sólo en Kiev, seis compañías eléctricas, dos aeropuertos, más de 22 bancos de Ucrania, cajeros automáticos, sistemas de pago con tarjeta en tiendas y transporte, y prácticamente todas las agencias federales se vieron afectadas. «El gobierno estaba muerto», resume el ministro ucraniano de infraestructura Volodymyr Omelyan. Según el Information Systems Security Partners (ISSP), al menos 300 compañías fueron atacadas, y un alto funcionario del gobierno ucraniano estimó que el 10 por ciento de todas las computadoras en el país fueron borradas. El ataque incluso bloqueó los equipos utilizados por los científicos en el sitio de limpieza de Chernobyl, a 60 millas al norte de Kiev. «Fue un bombardeo masivo de todos nuestros sistemas», dice Omelyan.

En una oficina en Odessa, una ciudad portuaria en la costa ucraniana del Mar Negro, un ejecutivo de finanzas para la operación de Maersk en Ucrania solicitó a los administradores de IT instalar el software de contabilidad MEDoc en una sola computadora. Eso le dio a NotPetya el único apoyo que necesitaba, este fue el punto de partida del magno desastre.

El ataque a Oschadbank

El segundo banco más grande de Ucrania, no salió ileso del ataque masivo provocado por el lanzamiento del código maligno NotPetya. Oleksii Yasinsky, jefe del cibercafé de Information Systems Security Partners, (ISSP) empresa a la que acudían la mayoría de las víctimas de ciberataques en Ucrania, recibió una llamada del director de dicha organización, quien le confirmaba que Oschadbank, también había sido atacado. El banco manifestó al ISSP que se enfrentaba a una infección de ransomware, una crisis cada vez más común para las empresas de todo el mundo que son atacadas por ciberdelincuentes con fines de lucro.

Sin embargo, media hora más tarde, cuando Yasinsky tuvo acceso al departamento de IT de Oschadbank, se dio cuenta de que este ataque era algo nuevo. «El personal estaba perdido, confundido, en estado de shock», dice Yasinsky. Alrededor del 90 por ciento de las miles de computadoras del banco estaban bloqueadas, mostrando los mensajes de «reparación del disco» de NotPetya y pantallas de rescate. La evaluación de Yasinsky determinó que, como en los casos anteriores, el ataque había sido producto de un gusano automatizado que de alguna manera había obtenido las credenciales de un administrador. Eso les permitió a los hackers irrumpir en la red del banco con total facilidad y rapidez.

Mientras tanto, todo el país estaba prácticamente paralizado. Los sistemas de pagos digitales y a través de tarjetas también habían sido bloqueados por Notpetya. Entre los ucranianos reinaba la incertidumbre sobre si tendrían dinero en efectivo suficiente para comprar comida y pagar sus servicios mientras duraba esa situación. Esa noche, mientras el mundo exterior seguía debatiendo si NotPetya era un ransomware criminal o un arma de guerra cibernética patrocinada por el estado, el personal de ISSP ya había comenzado a referirse a él como un nuevo tipo de fenómeno: una «invasión cibernética masiva y coordinada».

Los terminales de embarcación

La mañana del 27 de junio, Pablo Fernández, agente de carga del puerto Elizabeth, en New Jersey -uno de los 76 que conforman la división de operaciones portuarias de Maersk conocida como APM Terminals- esperaba que al menos varias docenas de barcos salieran desde allí a un puerto en el Medio Oriente. Aproximadamente a las 9 de la mañana Fernández (cuya identidad ha sido cambiada por motivos de seguridad), comenzó a recibir llamadas de los propietarios de las cargas, quienes con tono de molestia, alegaban que sus productos aún no habían ingresado a la terminal Elizabeth. En efecto, los contenedores no podían entrar ni salir del lugar, la puerta había sido bloqueada, simplemente “estaba muerta”.

Los empleados que la controlaban se inmutaron ante tal evento, en cuestión de minutos, cientos de vehículos se apostaban en fila en las afueras de la terminal, respaldados por organismos de seguridad. Par de horas más tarde, la terminal se declaró cerrada por el resto del día, fue entonces cuando los empleados cayeron en cuenta de que esta falla se trataba de un ataque. Mientras tanto, la policía se encargó de desalojar el lugar.

Ante esta suspensión de actividades, Fernández y los dueños de las cargas tuvieron que enfrentarse a una serie de posibilidades poco alentadoras. Una de tantas era llevar las cargas a otras compañías de traslados, entrar en una lista de espera y pagar costos elevadísimos para poder llevar los productos a sus destinos sin retrasos -un solo día de inactividad costaba a los dueños de las cargas cientos de miles de dólares-, o simplemente esperar un sustancioso reembolso por parte de Maersk que cubriera las pérdidas ocasionadas.

Sin embargo, había cargamentos que simplemente no podían esperar, ya que la mayoría de los productos que contenían eran perecederos y requerían refrigeración. Definitivamente todo se había vuelto un caos. Fernández se vio en la obligación de ubicar un almacén en Nueva York para guardar los contenedores pautados para salir ese día, mientras esperaba instrucciones de sus superiores. No obstante, en todo el día sólo recibió un correo oficial de Maersk muy ambiguo, en el que no se aclaraba la situación ni se proporcionaba mayor información respecto a la crisis. El sitio web de la empresa y los teléfonos de los diferentes departamentos estaban fuera de servicio. El panorama predecía que las embarcaciones que salieron ese día previo a la detención del servicio, quedarían en una especie de limbo, pérdidas en los puertos del mundo por tiempo indefinido. “Maersk era como un agujero negro” afirmó Fernández.

Esta misma escena de la Terminal Elizabeth, se repitió en 17 de los 76 puertos de Maersk. Desde Los Ángeles, Algeciras, España y Rotterdam en los Países Bajos, hasta Mumbai. Las grúas estaban paralizadas. Decenas de miles de camiones serían rechazados de las terminales “en coma” en todo el mundo. A pesar de que las computadoras de los barcos no estaban infectadas, el software de las terminales, diseñado para recibir a través de archivos de intercambio electrónico el contenido de las embarcaciones, había sido borrado en su totalidad. Esto inhabilitó los puertos para hacer las cargas y descargas correspondientes. Todo se había convertido en un caos sin precedente en el mercado naviero.

Días severos transcurrieron

Henry Jensen (cuya identidad real también ha sido protegida) es un Administrador de IT de Maersk. El día que el desastre detonó, estaba trabajando en una actualización de software para los casi 80,000 empleados de Maersk, cuando de repente su computadora se reinició espontáneamente. Días más tarde, mientras estaba en su casa recibió una llamada en conferencia de tres empleados de Maersk. Sin duda, lo necesitaban con extrema urgencia. De inmediato abordó un vuelo a Londres, para llegar a la oficina donde estos trabajaban incansablemente para reconstruir la red global de Maersk a raíz de su crisis de NotPetya. El cuarto y quinto piso de aquel edificio en Maidenhead se habían convertido en un centro de operaciones de emergencia las 24 horas del día, los 7 días de la semana.

El centro de recuperación de Maidenhead estaba siendo administrado por la consultora Deloitte. Maersk le delegó a esta firma del Reino Unido la solución de su problema NotPetya, prácticamente con cheque en blanco en mano. En un momento, alrededor de 200 empleados de Deloitte pernoctaban en las oficinas de Maidenhead, en conjunto con unos 400 empleados de Maersk. Los equipos informáticos utilizados antes del estallido de NotPetya fueron confiscados, para prevenir que pudieran infectar nuevos sistemas. Se adquirieron centenares de ordenadores portátiles y puntos de conexión de Wi-Fi prepago. Jensen, apenas pisó la oficina, tomó uno de estos equipos nuevos para comenzar a trabajar.

Al inicio de la operación, el personal que intentaba reconstruir la red de Maersk sólo logró localizar copias de seguridad de los servidores de tres a siete días previos al ataque de NotPetya. Sin embargo, nadie podía encontrar las copias de sus controladores de dominio, es decir, aquellos servidores que funcionan como un mapa detallado de la red de Maersk y que establecen las reglas básicas que determinan a qué usuarios se les permite acceder a qué sistemas.

Los aproximadamente 150 controladores de dominio de Maersk fueron programados para sincronizar sus datos entre sí, de modo que, en teoría, cualquiera de ellos podría funcionar como respaldo para todos los demás. Pero esa estrategia de copia de seguridad descentralizada no había tenido en cuenta el escenario al cual se enfrentaban actualmente, en el que todos los controladores de dominio fueron eliminados simultáneamente. Uno de los miembros del equipo de IT de Maersk afirmó: «Si no podemos recuperar nuestros controladores de dominio, no podemos recuperar nada».

Luego de una búsqueda exhaustiva que implicó llamar a cientos de administradores de IT alrededor del mundo, los desesperados trabajadores de este departamento finalmente encontraron un único controlador de dominio en el mundo ileso ante el ataque de NotPetya, ubicado en una oficina remota, en Ghana. ¡Enhorabuena! En algún momento antes del ataque, una falla eléctrica dejó sin conexión esta máquina, por lo que la computadora estaba desconectada de la red. Esto significaba que este ordenador contenía la copia de los datos del controlador de dominio de la empresa que el malware no había tocado, todo gracias a un corte de energía. «Hubo muchos gritos de alegría en la oficina cuando lo encontramos», comentó un administrador de la empresa.

Cuando los tensos ingenieros de Maidenhead establecieron una conexión con la oficina de Ghana, descubrieron que su ancho de banda era tan reducido que llevaría días transmitir la copia de seguridad del controlador de dominio de varios cientos de gigabytes al Reino Unido, lo que los obligó a replantearse el plan. Dado este inconveniente, su siguiente estrategia fue enviar a un miembro del personal de Ghana lo más pronto posible a Londres, sin embargo, ninguno de los empleados de la oficina de África Occidental tenía una visa británica. Había que volver a replantearse.

Fue entonces cuando la operación de Maidenhead organizó una especie de carrera de relevos: un miembro de la oficina de Ghana voló a Nigeria para encontrarse con otro empleado de Maersk en el aeropuerto y entregarle el preciado disco duro que solucionaría todo el problema. Ese miembro del personal luego abordó el vuelo de seis horas y media hasta Heathrow, llevando la piedra angular del proceso completo de recuperación de Maersk.

Una vez completada la operación de rescate, la oficina de Maidenhead podría volver a poner en línea los servicios centrales de Maersk. Después de los primeros días, las operaciones portuarias de Maersk habían recuperado la capacidad de leer los archivos de inventario de los barcos, por lo que los operadores ya no estaban cegados al contenido de los pesados buques de 18.000 contenedores que llegaban a sus puertos. No obstante, pasarían varios días después del corte inicial antes de que Maersk comenzará a recibir pedidos a través de su portal web para nuevos envíos, y pasaría más de una semana antes de que las terminales de todo el mundo comenzarán a funcionar con total normalidad.

Por su parte, los empleados de Maersk trabajaron con las herramientas que todavía estaban disponibles para ellos. Enlistaron en hojas de papel los productos de los contenedores enviados a los puertos y tomaron pedidos a través de sus cuentas personales de Gmail, WhatsApp y hojas de cálculo de Excel. «Puedo decir que fue una experiencia bastante extraña encontrar 500 contenedores de envío a través de WhatsApp, pero eso fue lo que hicimos», comentó un cliente de Maersk.

Unas dos semanas posteriores al ataque de NotPetya, la red de Maersk finalmente comenzaba a normalizarse. En la sede de Copenhague, una cafetería en el sótano del edificio se convirtió en una línea de montaje de reinstalación. Las computadoras estaban alineadas en mesas de comedor mientras el personal de IT caminaba por las filas, habilitando todos los equipos.

Días después de su regreso de Maidenhead, Henrik Jensen encontró su computadora portátil junto a una pila de cientos de equipos identificados en orden alfabético. Su disco duro, como el resto, fue borrado. Todo lo que él y el resto de los empleados de Maersk habían almacenado localmente en sus máquinas, desde notas hasta contactos y fotos familiares, había desaparecido. Pero afortunadamente, ya lo peor había pasado.

Cinco meses después

Transcurrido este tiempo, luego de la recuperación de Maersk, su presidente, Jim Hagemann Snabe, durante la reunión del Foro Económico Mundial en Davos, Suiza, elogió el «esfuerzo heroico» de la operación de rescate del equipo de IT de la compañía. Afirmó que Maersk demoró solo 10 días en reconstruir su red conformada por 4.000 servidores y 45.000 computadoras. Cabe destacar que la recuperación total tomó mucho más tiempo. Algunos miembros de la operación Maidenhead continuaron trabajando día y noche durante casi dos meses para reconstruir la configuración del software de Maersk.

Snabe también comentó que “Maersk había trabajado no solo para mejorar su ciberseguridad sino también para convertirla en una ventaja competitiva. De hecho, tras NotPetya, el personal de IT afirmó que prácticamente todas las funciones de seguridad que se solicitaron fueron aprobadas casi de inmediato. La autenticación multifactor se implementó en toda la compañía, junto con una actualización largamente retrasada a Windows 10”.

Snabe, sin embargo, no profundizó sobre la postura de seguridad de la compañía antes de NotPetya. Los empleados de seguridad de Maersk comentaron que algunos de los servidores de la corporación seguían ejecutando Windows 2000, un sistema operativo tan viejo que Microsoft ya no lo soportaba. En 2016, un grupo de ejecutivos de IT presionó por un rediseño de seguridad preventivo de toda la red global de Maersk. Hicieron especial énfasis sobre el parche de software menos que perfecto de Maersk, los sistemas operativos obsoletos y, sobre todo, la insuficiente segmentación de la red. En ese momento advirtieron que esa última vulnerabilidad en particular, podría permitir que el malware con acceso a una parte de la red se expandiera violentamente más allá de su punto de apoyo inicial, exactamente como lo hizo NotPetya el año siguiente.

Con respecto a las pérdidas producto de este ataque, Snabe comentó durante su charla en Davos, que Maersk solo sufrió una reducción del 20 por ciento en el volumen total de envío durante su interrupción NotPetya, gracias a los esfuerzos inmediatos y soluciones manuales oportunas de su personal de IT. No obstante, además de los negocios perdidos y el tiempo de inactividad de la compañía, así como el costo de reconstruir una red completa, Maersk también reembolsó a muchos de sus clientes los gastos ocasionados por redirigir o almacenar sus cargas. Un cliente de Maersk afirmó que recibió un cheque de siete cifras por parte de la compañía que cubría el costo del envío a última hora de su cargamento en un avión alquilado.

En total, Snabe manifestó en su discurso en Davos, que NotPetya le costó a Maersk entre 250 y 300 millones de dólares, sin embargo, algunos empleados consideraban que esta cifra era mayor.

Mientras tanto, el resto de las grandes empresas afectadas, como  Merck, cuya capacidad de fabricar algunas drogas fue cerrada temporalmente por NotPetya, presentó pérdidas de unos asombrosos  870 millones de dólares debido al malware. FedEx, cuya filial europea TNT Express quedó paralizada en el ataque y requirió meses para recuperar algunos datos, recibió un golpe de 400 millones de dólares. El gigante de la construcción francesa Saint-Gobain perdió casi la misma cantidad. Reckitt Benckiser, el fabricante británico de condones Durex, perdió 129 millones, y Mondelēz, el dueño de la fábrica de chocolate Cadbury, recibió un golpe de 188 millones de dólares. Un número incalculable de víctimas sin accionistas públicos contabilizaron sus pérdidas en secreto.

Una semana después

Transcurrido este tiempo, efectivos de la policía ucraniana camuflajeados con uniformes de la SWAT y armados con rifles de asalto, entraron en la modesta sede del Grupo Linkos, y allanaron el complejo de Bin Laden. Los empleados perplejos ante este evento, fueron alineados en el pasillo de la compañía. Luego de una minuciosa búsqueda, el escuadrón de la policía militarizada finalmente encontró lo que estaba buscando: el grupo de servidores que habían hecho posible la propagación de la plaga NotPetya. Los efectivos confiscaron las máquinas infractoras y las metieron en bolsas de plástico.

Actualmente, a más de un año desde que ocurrió este ataque, los expertos en ciberseguridad continúan discutiendo sobre los misterios de NotPetya. ¿Cuáles fueron las verdaderas intenciones de los hackers? Oleh Derevianko y Oleksii Yasinsky, trabajadores de la empresa de seguridad ISSP, sostienen que el ataque no fue diseñado solo para la destrucción, sino para un tipo de limpieza, ya que, los piratas informáticos que lo lanzaron, tuvieron meses de acceso sin restricciones a las redes de sus víctimas. Además del pánico y la interrupción que causó, NotPetya también pudo haber borrado la evidencia de espionaje o incluso reconocimiento para futuros sabotajes.

Fue en mayo de 2018 cuando el Departamento de Justicia de los Estados Unidos y los servicios de seguridad ucranianos anunciaron que habían interrumpido una operación rusa que infectó a medio millón de enrutadores de Internet, principalmente en Ucrania, con una nueva forma de malware destructivo.

Mientras que muchos en la comunidad de seguridad todavía consideran a las víctimas internacionales de NotPetya como daños colaterales, Craig Williams de Cisco argumenta que Rusia sabía muy bien la magnitud del dolor que el Malware ocasionaría a nivel internacional. Esa consecuencia, evidencia su intención de castigar específicamente a cualquiera que se atreviera a mantener incluso una oficina dentro de las fronteras del enemigo de Rusia. «Cualquiera que piense que esto fue accidental está siendo iluso», dice Williams. «Esta fue una pieza de malware diseñada para enviar un mensaje político: si haces negocios en Ucrania, te van a pasar cosas malas».

Sin embargo, casi todos los que han estudiado NotPetya llegan a la misma conclusión: esto podría volver a suceder, e incluso reaparecer a mayor escala. Las corporaciones globales están demasiado interconectadas, la seguridad de la información es demasiado compleja y las superficies de ataque son sumamente amplias como para protegerse contra los piratas informáticos entrenados en el estado, dispuestos a liberar al próximo Malware que sacuda al mundo. Mientras tanto, ocho meses después del golpe de  NotPetya, Rusia parece haber sido castigada por las sanciones del gobierno estadounidense debido al ataque.

Sin embargo, la lección más trascendental del ciberataque de NotPetya es entender lo extraño y extradimensional del campo de batalla de la ciberguerra. Lo peligroso que puede ser la propagación de un malware como este en manos de personas despiadadas. Lo vulnerables que están las grandes corporaciones a estos ataques, y las pérdidas gigantescas a las que están expuestas si no emplean medidas de seguridad inquebrantables. Joshua Corman, miembro de seguridad cibernética del Atlantic Council, afirmó «La física del ciberespacio es completamente diferente de cualquier otro dominio de guerra».

Autor: Elayne Querales

Especialista en Redacción SEO

Departamento de Marketing Interfell

Fuente: The Untold Story of NotPetya, the Most Devastating Cyberattack in History

 

  • Compartir

Dejar un comentario