El fabricante de Oreo, Maersk, la petrolera Rosneft y otras empresas sufren un nuevo ciberataque

Este martes, multidud de multinacionales de varios países europeos han sufrido un nuevo ciberataque similar al WannaCry. Entre ellas, se encuentran la naviera danesa Maersk, Nivea, la petrolera rusa Rosneft o Mondelez, el fabricante de marcas tan conocidas como Oreo, Milka y Toblerone.

«Podemos confirmar que los sistemas se han caído en múltiples sitios y unidades de negocio debido a un ciberataque», denuncia Maersk en un comunicado emitido a primera hora de esta tarde. Los medios holandeses han informado de que el ciberataque ha afectado a 17 terminales de carga controladas por la empresa APM (filial de Maersk) en distintos puertos del mundo, entre ellos dos de Rotterdam.

Por su parte, la petrolera rusa Rosneft informaba de que ha sido objeto de «un poderoso ataque informático», aunque ha subrayado que un reciente cambio en sus sistemas había evitado la interrupción de la producción de petróleo.

Por otro lado, la multinacional británica WPP ha informado de que varias de sus empresas se han visto afectadas por «un presunto ataque informático», señalando que la compañía ha adoptado las medidas apropiadas.

Mondelez International, el fabricante de Oreo, Milka o Toblerone, ha confirmado «una incidencia en sus sistemas de información a nivel internacional», y ha señalado que su equipo global de gestión de situaciones especiales está trabajando en ello para encontrar una solución lo más rápido posible.

 El CNI confirma el ciberataque

En España, el Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI), ha confirmado que se ha identificado el ciberataque de un virus ransomware de la familiar Petya, que tiene un comportamiento similar al WannaCry, contra varias multinacionales con sede en España.

En concreto, el equipo del CCN-CERT alerta ante la detección de una campaña de ransomware que afecta a sistemas Windows, cifrando el sistema operativo o disco y cuya propagación es similar a la de WannaCry, es decir, una vez ha infectado una máquina puede propagarse por el resto de sistemas conectados a esa misma red.

«El malware utilizado en la campaña, una variante de la familia Petya, se ha detectado ya en empresas ubicadas en Ucrania y en algunas multinacionales con sede en España», señala el Centro Criptológico Nacional (CCN), que apunta que para el descifrado de los archivos, la campaña solicita un rescate en Bitcoin de 300 dólares.

Entre las empresas multinacionales con sede en España se encuentra Mondelez Internacional, que ha confirmado que está sufriendo una incidencia en sus sistemas de información a nivel internacional y que su equipo global de gestión de situaciones especiales está trabajando en ello para encontrar una solución «lo más rápido posible».

Ante este nuevo ciberataque, el CCN-CERT recomienda como medidas de prevención y mitigación, actualizar el sistema operativo y todas las soluciones de seguridad, así como tener el cortafuegos personal habilitado.

Asimismo, aconseja que los accesos administrativos desde fuera de la organización se lleven a cabo sólo mediante protocolos seguros y que se mantenga una conducta de navegación «segura, empleando herramientas y extensiones de navegador web completamente actualizado».

En esta línea, también insta a activar la visualización de las extensiones de los ficheros para evitar ejecución de código dañino camuflado como ficheros legítimos no ejecutables, así como a deshabilitar las macros en los documentos de Microsoft Office y otras aplicaciones similares.

Respecto a los pasos del proceso de desinfección y las principales herramientas de recuperación de los archivos en este tipo de ataques, el Centro recuerda que efectuar el pago por el rescate del equipo no garantiza que los atacantes envíen la utilidad y/o contraseña de descifrado, sino que «sólo premia su campaña y les motiva a seguir distribuyendo masivamente este tipo de código dañino».

En el caso de haberse visto afectados por esta campaña y no dispusieran de copias de seguridad, se recomienda conservar los ficheros que hubieran sido cifrados por la muestra de ransomware antes de desinfectar la máquina, ya que no es descartable que en un futuro apareciera una herramienta que permitiera descifrar los documentos que se hubieran visto afectados.

Más profesional

El nuevo ciberataque se está extendiendo «bastante rápido» por decenas de organizaciones importantes de todo el mundo, según expertos consultados por Efe, que señalan que, si bien es pronto para saber si es más o menos virulento que el de mayo, parece «un trabajo bastante profesional y más desarrollado».

«Se trata de un ransomware ya conocido y, aún así, ha logrado afectar a muchas organizaciones, con lo cual es un trabajo bastante profesional», ha resumido a Efe el experto en ciberseguridad Deepak Daswani.

Daswani ha explicado que la infección de equipos es por un malware del tipo ransomware, de la familia conocida como Petya o Petrwrap, mediante el que se solicita un pago de 300 dólares en la moneda virtual bitcoin.

«Parece que explota las mismas vulnerabilidades», ha detallado Daswani, «por lo que es raro que sigan existiendo tantos equipos expuestos sin actualizar en organizaciones tan importantes».