Nuevo ataque, varios cambios

  • Esta variante tiene ciertas similaridades con WannaCry, pero está enfocado más en hacer daño que en recuperar dinero para los atacantes.

ciberataqueGrandes empresas del mundo vuelven a ser sorprendidas por nuevo ataque de ransomware, en esta ocasión se trata de una variante nueva de la familia de Ransomware que comparte ciertas características de WannaCry como sus capacidades de usar la vulnerabilidad denominada EternalBlue para distribuirse dentro de las redes como un gusano. Esta vulnerabilidad fue liberada hace alrededor de dos meses por un grupo que reclama lo extrajo del NSA (National Security Agency de EU). “Inicialmente se le atribuyö el nombre de “Petya” por las características similares, pero luego se renombró como “NotPetya”, “SortaPetya”o “Petna” al identificarse diferencias sustanciales”, enfatiza Walter Cervoni, Chief Technology Officer de GM Security Technologies.

Entre las diferencias notables está que el proceso para recibir pago por parte de los atacantes es demasiado sencillo, apunta. Hay una sola dirección de correo para comunicarse con los creadores para obtener las llaves de descifrar, por lo cual sería imposible que los creadores supieran qué llave enviar a cada persona que paga. Asimismo, con sólo bloquear un  email por parte del proveedor de servicios, no hay manera de que los infectados se comuniquen con los atacantes para recibir las llaves de descifrar los archivos. “Esto probablemente indica que el objetivo real de los atacantes no era recuperar dinero, ya que es demasiado fácil bloquear este proceso; hay múltiples opiniones que apuntan a que fue un ataque lanzado por personal ruso enfocado particularmente, en hacer daño a Ucrania que celebraba un aniversario de la separación de Rusia”.

El malware se detectó inicialmente en unos parches de actualización de unos sistemas de contabilidad de Ucrania y termino afectando los cajeros automáticos y llego entre otros hasta impactar el monitoreo de radiación de la planta nuclear de Chernobyl, lo cual tuvo que pasar a procesos manuales, puntualiza. Se continuó expandiendo a otros países y empresas internacionales, como Maersk y Merck en Estados Unidos, al igual que empresas pequeñas, llegando hasta Australia.

“Entre sus características destaca que, dependiendo del nivel de poder del usuario, el malware cifra la tabla maestra del disco y cambia áreas de control del disco (MBR), el cual procede a reiniciar la maquina; si el usuario no tiene derechos para cambiar el MBR, este continúa sin reiniciar la maquina a cifrar los archivos con una larga serie de extensiones como: 3ds, 7z, accdb, ai, asp, aspx, avhd, back, bak, c, cfg, conf, cpp, cs, ctl, dbf, disk, djvu, doc, docx, dwg, eml, fdb, gz, h, hdd, kdbx, mail, mdb, msg, nrg, ora, ost, ova, ovf, pdf, php, pmf, ppt, pptx, pst, pvi, py, pyc, rar, rtf, sln, sql, tar, vbox, vbs, vcb, vdi, vfd, vmc, vmdk, vmsd, vmx, vsdx, vsv, work, xls, xlsx, xvd, zip, siendo el resultado es devastador para el usuario”.

Usando diversas técnicas  similares al WannaCry, el malware se expande dentro de la red del usuario, por lo que las recomendaciones sugeridas para el WannaCry siguen siendo muy prácticas.  El primer consejo, enfatiza, es tener los respaldos al día y no accesibles desde los equipos en la red que pudo ser infectada. Otros ejemplos, son la aplicación del parche MS-17-010; bloquear el puerto TCP/445 a accesos externos; el control de los niveles de privilegio de los usuarios; la segmentación de la red; y la advertencia a los usuarios de no abrir correos electrónicos de fuentes que no conozcan y no confíen.

Cervoni comenta que existe una “vacuna” que se ha descubierto, la cual funciona creando un archivo en los equipos para evitar que el malware cifre la máquina. “No es un Kill Switch que evite que se riegue con un sólo paso, este archivo tiene que cargarse en cada máquina que se quiera proteger; este es un enlace provisto por la entidad bleepingcomputer.com, en donde se explica de manera bastante sencilla lo que se puede hacer <https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/> “.

El ciberataque comenzó a avanzar su alcance principalmente a instituciones financieras y petroleras en Europa del Este, dado que en Ucrania y Rusia se concentra el mayor número de infecciones con un 60% y 30% de equipos afectados globalmente; aunque también, se han verificado equipos atacados en España, Reino Unido, incluso en Latinoamérica, destaca Cervoni.

PRESENTA UNA NOVEDAD

Este gran ataque informático de escala global que sacó de servicio a computadoras de la mayor empresa petrolera rusa, instituciones financieras en Ucrania, compañías postales, navieras, red eléctrica y empresas multinacionales, continúa demostrando las fallas de las empresas en materia de seguridad de sus redes frente a la rapidez y cada vez más asertivos y agresivos ataques informáticos, capaces de derribar infraestructura crítica y someter a redes de gobiernos y corporaciones.

 AMENAZAS QUE PASAN POR ALTO 

Grandes corporaciones más grandes e instituciones de Gobierno quedan expuestas ante este tipo de ataques, comenta Cervoni, pues los antivirus tradicionales, en muchos casos son un falso sentido de seguridad, pues no son capaces de detectar este tipo de amenazas.   Para estos tipos de amenaza no existen “aspirinas mágicas” que con un solo paso resuelvan la probabilidad de infección.  Requieren trabajo coordinado y dedicado por un equipo de profesionales de la seguridad de información y esto conlleva tiempo y dinero.

Similar a Wannacry, lo que complica el caso de este  ransomware no fue el código que cifra los ficheros y pide un rescate; sino el gusano que lo propaga y que usa la vulnerabilidad EternalBlue, para pedir el rescate y para propagarlo por las redes locales. “Si bien la propagación de WannaCry se detuvo gracias a la compra de un simple dominio web, esta vez es diferente, no hay interruptor para detener esta variante; recién hoy se anuncia el descubrimiento de la vacuna, pero ya hay muchas empresas y gobiernos infectados y esta vez pagar no resuelve nada”.

Es imperativo mantener actualizados tanto el sistema operativo, como los programas de seguridad informática, y los parches y de establecer un programa de análisis de vulnerabilidad y penetración continuo.  De esa manera empresas especializadas pueden probar las defensas de entidades cuyo objetivo no es la seguridad cibernética.  De igual manera las empresas deben moverse a equipos de nueva generación que utilicen redes automáticas para enterarse de los nuevos ataques que surgen en cualquier parte del mundo y auto-protegerse.  Hacer esto manualmente es muy riesgoso y toma demasiado tiempo”, agrega Cervoni,

Es importante que quede claro que los atacantes no son individuos, sino gobiernos o  empresas completas que utilizan el dinero de ransomware para continuar su investigación y desarrollo, de manera de seguir produciendo amenazas más sofisticadas y diferentes.  Si los defensores de las empresas no se alían de la misma manera e intercambian datos, no tienen buenas posibilidades de salir airosos en las batallas diarias.  Más tarde o más temprano serán infectados, concluye.