De WannaCry a Petya: cómo el ransomware puede 'paralizar el mundo'

Un mes y medio después de que WannaCry mostrase el poder del ransomware para paralizar el mundo (afectó a grandes empresas como Telefónica, Renault, PetroChina, Nissan o Hitachi, además de a servicios esenciales como el sistema de salud del Reino Unido o 4.000 instituciones de educación de China), llega un nuevo ciberataque a escala global. Se trata de Petya, otro ransomware que utiliza técnicas similares a WannaCry (secuestra los ordenadores y exige el pago de un rescate de 300 dólares) que ya ha atacado a empresas de todo el mundo, entre las que se encuentran Maersk, Rosneft, Mondelez o Merck. No obstante, ha sido Ucrania el país que se ha visto más afectado (ha atacado a sus infraestructuras críticas, como aeropuertos, el metro de Kiev, la compañía estatal de energía o el Banco Nacional).

¿Quieres saber cómo puedes sobrevivir a un ataque de ransomware cifrado? Puedes conocer las claves en este content marketing o, si lo prefieres, puedes descargarte esta revista digital que explica qué es lo que hay que hacer ante un ataque de ransomware. 

“Este brote no parece ser tan grande como WannaCry pero el número de organizaciones que han sido afectadas es considerable. Según los datos que tenemos hasta ahora, parece que se está usando el mismo método de propagación que WannaCry. Cualquiera que ejecute sistemas operativos que no hayan sido parcheados con motivo de la aparición de WannaCry, podría ser vulnerable a este ataque", destaca Raj Samani, Head of Strategic Intelligence en McAfee LLC.

Más sobre Ciberseguridad... Ataques con exploits: de las amenazas diarias a las campañas dirigidas Informe Symantec sobre la seguridad de Internet (ISTR 2017) Informe sobre la responsabilidad de las entidades financieras ante el fraude electrónico Informe global sobre Seguridad de la Información 2016-2017 de EY La paradoja tras la experiencia del usuario con el cripto-ransomware

Kaspersky Lab, por su parte, considera que este ransomware no es una variante de Petya, sino “un nuevo ransomware que no se ha visto antes” al que ha bautizado como NotPetya. “Nuestros datos de telemetría indican que, hasta la fecha, el ataque ha afectado a unos 2.000 usuarios. Las organizaciones de países como Rusia y Ucrania han sido las más afectadas. Además, hemos registrado impactos de este ataque en Polonia, Italia, Reino Unido, Alemania, Francia, Estados Unidos, España y en otros países”.

Cómo funciona

A grandes rasgos, este ransomware puede sobrescribir el registro de arranque principal, también conocido como registro de arranque maestro (MBR) del sistema afectado con el fin de bloquear el acceso a los usuarios, y puede llegar a las víctimas que utiliza un servicio de almacenamiento cloud legítimo (en este caso lo hace a través de Dropbox).

El equipo de investigación de Trend Micro ha observado que no se trata de la primera vez que el malware abusa de un servicio legítimo para su propio beneficio; sin embargo, ésta es la primera vez (desde hace un largo período de tiempo) que provoca la infección por crypto-ransomware. También es una desviación de la cadena de infección típica, en la que los archivos maliciosos están asociados a mensajes de correo electrónico o alojados en sitios maliciosos y son entregados por kits de exploits.

Check Point explica que los hackers utilizan Loki Bot para el robo de las credenciales. “Nuestro análisis muestra que Petya se propaga lentamente, explotando las vulnerabilidades de las PYMES”.

El CCN-CERT destaca que Petya, que se propaga a través de mensajes de correo electrónico, puede explotar una vulnerabilidad de Microsoft Office para propagarse a través de infecciones en las carpetas compartidas en la red de la organización afectada. “Además, intenta utilizar las vías de infección del exploit que aprovecha la vulnerabilidad de Microsoft MS 17-010. En el caso de que el sistema estuviera parcheado ante esta vulnerabilidad, el malware utiliza una alternativa basada en la ejecución de la aplicación propietaria del sistema Windows “Psexec” en carpetas compartidas sobre el sistema víctima”.

La ciberseguridad está cambiando, al igual que la tecnología, las empresas, el mercado, el uso de los datos y, sobre todo, las intenciones de los cibercriminales.Si quieres conocer cómo está evolucionando este mercado, puedes acceder content marketing en este enlace, o bien, descargarte la revista digital haciendo clik en este enlace. 

Cómo protegerse

Como medidas de prevención y mitigación, InnoTec recomienda actualizar el sistema operativo y todas las soluciones de seguridad, así como el cortafuegos personal habilitado; utilizar sólo protocolos seguros en los accesos administrativos desde fuera de la organización;  mantener una conducta de navegación segura, empleando herramientas y extensiones de navegador web completamente actualizado; activar la visualización de las extensiones de los ficheros para evitar ejecución de código dañino camuflado como ficheros legítimos no ejecutables; y deshabilitar las macros en los documentos de Microsoft Office y otras aplicaciones similares.En el caso de haberse visto afectados por esta campaña y no dispusieran de copias de seguridad, se recomienda “conservar los ficheros que hubieran sido cifrados por la muestra de ransomware antes de desinfectar la máquina, ya que no es descartable que en un futuro apareciera una herramienta que permitiera descifrar los documentos que se hubieran visto afectados”.