----
/
/
Al final, Petya lo que buscaba era hacer daño

Al final, Petya lo que buscaba era hacer daño

A poco menos de una semana del ataque global conocido como Petya, GoldenEye o NotPetya, según a quien se le pregunte, una cosa ha quedado clara: el objetivo de los hackers no era hacerse de un dinero, sino pura y simplemente hacer daño.

Quizás lo más sorprendente del ataque que se analiza en esta entrada es que tomara ventaja de la misma vulnerabilidad que permitió a WannaCry su saldo destructivo en mayo pasado, pues ello tan solo demuestra que en materia de seguridad empresas e individuos a nivel general mantiene una actitud bastante laxa que luego se paga cara.

Ahora bien, ¿por qué se ha llegado a la nefasta conclusión de que Petya -en esta ocasión, al menos, pues el ransomware fue detectado en 2016- lo que quería era únicamente hacer daño? En primer lugar, y pese a haber sido etiquetado como ransomware por su modus operandi y similitud con WannaCry, este malware era en realidad un wiper, diseñado para borrar todo aun cuando exigiera un pago en Bitcoin equivalente a 300 dólares.

Diferencias sustanciales con WannaCry

El pasado martes, cuando se supo de un nuevo ataque global de ransomware, se asumió casi de manera general que se trataba de una nueva versión de WannaCry. Sin embargo, pronto se hizo evidente que esto era algo más potente y mejor diseñado

Walter Cervoni, de GM Security Technologies, indica que una de las diferencias notables era el mecanismo establecido para recibir los pagos, que al limitarse a una sola dirección de correo electrónico imposibilitaría en la práctica que los creadores supieran qué llave enviar a cada persona que realizase un pago, aparte de lo fácil que resultaría a un proveedor de servicios bloquear el acceso a la misma como medida de seguridad, como en efecto ocurrió.

Para Cervoni, esto probablemente indica que el objetivo real de los atacantes no era recuperar dinero, ya que es demasiado fácil bloquear este proceso. Hay múltiples opiniones que apuntan a que fue un ataque lanzado por personal ruso enfocado particularmente en hacer daño a Ucrania, que celebraba un aniversario de la separación de Rusia.

Walter Cervoni

Walter Cervoni, de GM Security Technologies

Inicialmente el malware se detectó en unos parches de actualización de unos sistemas de contabilidad de Ucrania, pasando de ahí a cajeros automáticos y llegando a impactar el monitoreo de radiación de la planta nuclear Chernobyl, la cual tuvo que pasar a procesos manuales. De Ucrania pasó a otros países y empresas internacionales, entre ellas la danesa Maersk y la farmacéutica Merck en Estados Unidos. Desde Brasil hasta Australia hubo casos reportados.

Entre sus características destaca que, dependiendo del nivel de poder del usuario, el malware cifra la tabla maestra del disco y cambia áreas de control del disco (MBR), el cual procede a reiniciar la maquina. Si el usuario no tiene derechos para cambiar el MBR, este continúa sin reiniciar la máquina a cifrar los archivos con una larga serie de extensiones como: 3ds, 7z, accdb, ai, asp, aspx, avhd, back, bak, c, cfg, conf, cpp, cs, ctl, dbf, disk, djvu, doc, docx, dwg, eml, fdb, gz, h, hdd, kdbx, mail, mdb, msg, nrg, ora, ost, ova, ovf, pdf, php, pmf, ppt, pptx, pst, pvi, py, pyc, rar, rtf, sln, sql, tar, vbox, vbs, vcb, vdi, vfd, vmc, vmdk, vmsd, vmx, vsdx, vsv, work, xls, xlsx, xvd, zip, siendo el resultado devastador para el usuario. Walter Cervoni, GM Security Technologies.

Usando diversas técnicas  similares al WannaCry, el malware se expande dentro de la red del usuario, por lo que las recomendaciones sugeridas para el WannaCry siguen siendo muy prácticas.  El primer consejo, enfatiza, es tener los respaldos al día y no accesibles desde los equipos en la red que pudo ser infectada. Otras recomendaciones incluyen aplicar el parche MS-17-010, bloquear el puerto TCP/445 a accesos externos, controlar los niveles de privilegio de los usuarios, segmentar la red y recordar a usuarios no abrir correos electrónicos de fuentes que no conozcan o desconfíen.

Cervoni comenta que existe una “vacuna” para Petya, la cual funciona creando un archivo en los equipos para evitar que el malware cifre la máquina. Al respecto aclara que no es un interruptor de emergencia o “kill switch” que evite que se riegue con un sólo paso, como ocurrió con WannaCry, sino que este archivo tiene que cargarse en cada máquina que se quiera proteger.

Algunas conclusiones

Grandes corporaciones más grandes e instituciones de Gobierno quedan expuestas ante este tipo de ataques, comenta Cervoni, pues los antivirus tradicionales, en muchos casos son un falso sentido de seguridad al no ser capaces de detectar este tipo de amenazas.

Para esta clase de amenaza no existen “aspirinas mágicas” que con un solo paso resuelvan la probabilidad de infección.  Mantener los equipos y sistemas seguros requiere de un trabajo coordinado y dedicado por un equipo de profesionales de la seguridad de información, algo que conlleva tiempo y dinero.

Varios analistas de seguridad han descrito a Petya como wiper y no ransomware

Lo que complica el caso con Petya no es el código que cifra los ficheros y pide un rescate, sino el gusano que lo propaga y que usa la vulnerabilidad EternalBlue, para pedir el rescate y para propagarlo por las redes locales.

Es imperativo mantener actualizados tanto el sistema operativo como los programas de seguridad informática. Los parches y el establecimiento de un programa de análisis de vulnerabilidad y penetración continuo son una necesidad. De igual manera, las empresas deben moverse a equipos de nueva generación que utilicen redes automáticas para enterarse de los nuevos ataques que surgen en cualquier parte del mundo y autoprotegerse.  Hacer esto manualmente es muy riesgoso y toma demasiado tiempo, agrega Cervoni,

Es importante que quede claro que los atacantes en casos como este no son individuos, sino gobiernos o empresas completas que utilizan el dinero recolectado por vía de ransomware para continuar labores de investigación y desarrollo con la finalidad de seguir produciendo amenazas más sofisticadas y diferentes.

Deja una respuesta

AUTORA

ROCIO DIAZ

ARTICULOS RECIENTES

Categorías

instagram