Después del susto mundial que supuso Wannacry a principios de mayo, ayer se supo que una nueva variante de malware ha puesto contra las cuerdas a empresas, bancos e instituciones de todo el mundo, aunque sobre todo ha afectado a entidades rusas y de Ucrania. Era algo que, según algunos analistas podía pasar. En esta ocasión de se trata de una variante del virus Petya, y explota una vulnerabilidad de las conexiones de red de los equipos con Windows. Sin embargo, otros no se atreven a catalogarlo y hablan de un ransomware desconocido. En todo caso, el fin es el mismo que Wannacry: se trata de un ataque destinado a secuestrar equipos por los que luego se pide un rescate. A continuación ofrecemos de forma resumida la información que tenemos hasta la fecha sobre este nuevo ataque.
Índice de temas
¿De qué se trata exactamente?
Según Check Point, estamos ante una nueva versión del ransomware Petya, visto por primera vez en marzo de 2016. Trend Micro dice que la variante es RANSOM_PETYA.SMA. Cisco, por su parte, dice que se trata del ransomware Nyetya, que mantiene diferencias con la variante Petya, Petrwrap o GoldenEye, como también se ha denominado.
¿Cómo se comporta?
Cisco asegura que el malware se comporta como un gusano extendiéndose lateralmente por la red afectada, al igual que Wannacry. Sin embargo, a diferencia de Wannacry, de momento se propaga internamente y no escaneando Internet a través de componentes externos como el e-mail. Check Point dice que este malware no cifra los archivos en las empresas infectadas uno por uno, sino que bloquea todo el disco duro.
¿Cómo se propaga?
Una vez entra en la red, el virus utiliza tres mecanismos para extenderse de forma automática: mediante la vulnerabilidad conocida como Eternal Blue (protocolo SMB de Microsoft), que ya fue explotada por Wannacry en mayo; Psexec, una herramienta legítima de administración de Windows; y WMI, un componente legítimo de Windows. Trend Micro señala también que, una vez en un sistema, esta variante de Petya utiliza el proceso rundll32.exe para ejecutarse por sí misma.
¿Cómo actúa en el equipo?
El cifrado real es llevado a cabo por un archivo llamado perfc.dat, ubicado en la carpeta de Windows. Esta nueva variante de ransomware cifra el MBR (Master Boot Record) del equipo infectado, algo similar a la lista de contenidos del disco duro, pidiendo un rescate en bitcoins a una dirección codificada a cambio de recuperar los datos cifrados. Según Trend Micro, el descifrado es un proceso mucho más laborioso por parte de los atacantes. Esto contrasta con los ataques anteriores de Petya, que tenían una interface de usuario (UI) más desarrollada para este proceso. De acuerdo a los datos Kaspersky Lab, esta oleada se ha ramificado en más de 2.000 ciberataques distintos.
¿Qué efectos ha tenido?
El ciberataque comenzó en Ucrania, posiblemente a través de una actualización de software para el programa de gestión de impuestos denominado MeDoc, utilizado por un gran número de organizaciones ucranianas o que tienen relación comercial con Ucrania. Check Point asegura que en ese país del este el ransomware “ha causado daños enormes a sus infraestructuras críticas”. Sin embargo, el ataque ha afectado también a organizaciones en España, Francia, Dinamarca, Reino Unido, Rusia y EEUU. Esta mañana, Check Point aseguraba que sólo había unos 10.000 dólares en la cuenta de BitCoins asociada al ciberataque. Kaspersky hablaba de 6.000 dólares. Trend Micro también señala que a cada usuario afectado se le ha pedido que pague un rescate de 300 dólares y que hasta el momento se han pagado aproximadamente 7.500 dólares en la dirección de Bitcoin.
¿Cómo nos podemos proteger?
Cisco recomienda utilizar sistemas operativos con soporte y actualizados, parcheando de forma efectiva los terminales. Por su parte, Check Point dice que las compañías deben aplicar la última actualización de seguridad de Microsoft inmediatamente y deshabilitar el protocolo de intercambio de archivos SMBv1 en sus sistemas de Windows. En Trend Micro también son muy concretos, y recomiendan hacer estas tres cosas: aplicar el parche de seguridad MS17-010, desactivar el puerto TCP 445 y restringir las cuentas con acceso al grupo de administradores. Además, la firma japonesa recomienda no pagar ningún rescate. También aconsejan los fabricantes de seguridad utilizar software antimalware y recibir y aplicar las actualizaciones de forma regular. Y, por último, recomiendan tener un plan de recuperación frente a desastres con copias de seguridad de datos off-line. De todas formas, Check Point recuerda que más del 93% de las empresas no disponen de la tecnología necesaria para protegerse contra este tipo de ataque.