Notpetya: El arma que provocó pérdidas por más de 10 mil millones de dólares

Share this…

La historia sobre el arma cibernética que provocó millones en pérdidas en todo el mundo

Andy Greenberg es un veterano reportero de ciberseguridad que se ha mantenido al tanto del caótico y atemorizante mundo de la ciberguerra desde sus primeros días; en un libro próximo a publicarse, Greenberg cuenta la fascinante y terrible historia de Notpetya, un arma cibernética rusa (diseñada a partir de armas cibernéticas filtradas de la NSA) que se disfrazó como ransomware criminal, pero que fue diseñada para identificar y destruir  sistemas y redes críticas en Ucrania.

Ucrania ha sido durante años un campo de pruebas de ciberguerra para Rusia, lo que ha convertido al territorio ucraniano en objeto de estudio de los investigadores en ciberseguridad.

Aunque fue diseñado para atacar los sistemas ucranianos (se dirige a sistemas con una pieza común de software de contabilidad ucraniano), las fallas en el diseño de Notpetya provocaron que este circulara libremente y cerrara algunas de las compañías más grandes del mundo, incluida Maersk, la empresa de importación y exportación de cargas más grande del mundo. Acorde a especialistas en ciberseguridad del Instituto Internacional de Seguridad Cibernética, Notpetya generó más de 10 mil millones de dólares en gastos para empresas de todo el mundo.

En un adelanto de su libro, el experto en ciberseguridad detalla cómo ocurrió el ataque en Maersk, un evento global que se extendió por las cadenas de suministro y podría haber sido mucho, mucho peor (una pieza clave de datos fue eliminada en siete servidores duplicados y solo sobrevivió en un sistema en Ghana debido a un apagón anormal que cerró el centro de datos, por lo que el sistema fue desconectado antes de que pudiera ser infectado).

La historia de la infección en Maersk muestra cómo un sistema con fallas en puntos clave se vuelve inutilizable, incluso aunque otras partes del sistema no se ven afectadas, pues, en este caso, los sistemas barqueros de Maersk estaban bien, pero no había forma de distribuir sus cargas o de recibir cargas nuevas, incluso los accesos a los puertos barqueros estaban paralizados.

Según la narración del experto en ciberseguridad, después de una búsqueda frenética que implicó llamar a cientos de administradores de TI en todo el mundo, los equipos de de Maersk finalmente encontraron un único controlador de dominio superviviente en una oficina remota, en Ghana. En algún momento antes de que NotPetya atacara, un apagón había dejado sin conexión a esa máquina ghanesa, la máquina estuvo fuera de línea durante el ataque. Por lo tanto, esta contenía la única copia conocida de los datos del controlador de dominio de la empresa que el malware no había infectado, todo gracias a un apagón. “Hubo muchos gritos de alegría en la oficina cuando encontramos esto”, mencionó un administrador de Maersk.

Sin embargo, cuando los ingenieros de Maersk pudieron establecer conexión entre Maidenhead y la oficina de Ghana, descubrieron que su ancho de banda era tan reducido que llevaría días transmitir la copia de seguridad del controlador de dominio al Reino Unido. Lo que se les ocurrió fue poner un miembro del personal de Ghana en el próximo avión a Londres. Pero ninguno de los empleados de la oficina de África Occidental tenía una visa británica.

Debido a esto, un miembro de la oficina de Ghana voló a Nigeria para encontrarse con otro empleado de Maersk en el aeropuerto para entregarle un disco duro. Ese miembro del personal luego abordó el vuelo de seis horas y media hacia Heathrow, llevando la piedra angular del proceso de recuperación de Maersk.