malware, Ransomware

Un resumen sobre lo que se sabe de NotPetya (Petya.2017)

Un ciberataque mundial llamado “WannaCry” del tipo gusano cripto-ransomware, causó estragos en todo el mundo a mediados de mayo de 2017. A los pocos días de su inicio, ya había infectado el Servicio Nacional de Salud del Reino Unido, la empresa española Telefónica y la alemana Deutsche Bahn. En total, más de 300.000 sistemas informáticos en +150 países se habían visto afectados.

Hace apenas cinco días una, aparentemente, nueva variante más sofisticada del ransomware conocido como Petya (2016), llamado ahora por muchos NotPetya (o Petya.2017), atacó miles de equipos en diversas organizaciones, comenzando por Ucrania y continuando por otros 64 países, según informa Microsoft.

La lista de víctimas incluye:

  • Ucrania – Sistema de Monitoreo de Radiación de Chernobyl, Gobierno, Banco Central y Red de Energía.
  • Rusia – Rosneft, empresa estatal de energía.
  • UK – WPP Media, la compañía de servicios de marketing más grande del mundo.
  • Dinamarca – AP Moller-Maersk, la mayor compañía de transporte marítimo de contenedores del mundo.
  • EE.UU. – Merck, una compañía farmacéutica.
  • Francia – Saint Gobain, una empresa de construcción
  • DLA Piper – Uno de los bufetes de abogados más grandes del mundo

Funcionamiento

Este malware, como ocurría con Petya (2016), una vez que infecta el equipo desprotegido modifica el sector de arranque del disco rígido (MBR) del mismo y luego configura el sistema operativo para reiniciar a través de una tarea programada.

Cuando el equipo se reinicia, muestra un mensaje falso que señala un supuesto error en el disco con su respectiva comprobación de integridad (también falsa), durante la cual NotPetya cifra la información según informa ESET Security Community. Cuando el cifrado se completa, se muestra el mensaje del atacante que demanda un rescate de USD 300 en bitcoins para “recuperar” los archivos y permitirle a la víctima iniciar el sistema operativo.

Si el sistema recién se infectó, se puede apagar y no volver a encender el equipo para evitar que se active el código malicioso. Una vez que este código malicioso infectó un equipo, intenta esparcirse por la red interna a la cual está vinculado y afectar otros equipos explotando vulnerabilidades en el protocolo SMB.

¿Ransomware o Wiper?

Matt Suiche, hacker experto y fundador de comae, afirma que en realidad NotPetya se trata de un “wiper” (programa para borrado de datos), lo cual significa que a pesar de pagar el rescate solicitado, los discos duros son de igual forma eliminados completamente. Por lo tanto, quienes resultaron víctimas del ataque no tendrían oportunidad de recuperar ni los archivos ni el sistema, porque no habrían sido secuestrados sino destruidos por completo.

Otros investigadores sugieren que un error de diseño en el uso del método de cifrado de NotPetya podría dejar algunos archivos dañados o indescifrables. Además, Malwarebytes, y ESET, confirman que la tabla de particiones (MFT) podría también ser indescifrable. Esto es todo lo que se sabe hasta el momento y confirmaría la teoría inicial de Matt Suiche, de que en realidad se trata de un Wiper.

A los usuarios infectados se les aconseja no pagar el rescate, primero porque se alimenta el mercado de la ciberdelincuencia, segundo porque aparentemente no habría forma de recuperar la información y tercero porque los delincuentes detrás de NotPetya no pueden recibir los correos electrónicos ya que su proveedor suspendió la dirección utilizada por los delincuentes para comunicarse con las víctimas.

Primeras infecciones y propagación

Microsoft, junto a otras fuentes, tiene evidencia de que algunas de las primeras infecciones activas del malware comenzaron por el proceso de actualización legítimo de MEDoc, un software ucraniano de contabilidad de impuestos. Los ataques de cadena de suministro de software son un tipo nuevo de amenaza persistente avanzada (APT) que se aprovechan de una vulnerabilidad en el servidor que distribuye las actualizaciones de software. Entonces el cliente se infecta al descargar e instalar estas actualizaciones, proceso que en muchos casos se realiza de forma automática. Costin Raiu de Kaspersky sugiere que hubo un segundo vector inicial de infección donde el sitio web de la ciudad ucraniana de Bahmut fue hackeado y utilizado para servir al malware. Investigaciones recientes de ESET revelaron que las infecciones en compañías fuera de Ucrania pueden deberse a que tenían establecidas conexiones con sus partners en Ucrania. Otras fuentes confirman que la propagación de esta nueva amenaza se produce, al igual que la mayoría del ransomware, por correo electrónico.

Malwaretech, en un post, establece que la diferencia importante entre NotPetya y WannaCry es que este último probablemente fue desplegado en un pequeño número de equipos y luego se extendió rápidamente a través de Internet, mientras que NotPetya parece haber sido desplegado en un gran número de computadoras y propagado únicamente a través de redes locales.

Medidas de protección

Medidas generales:

  1. No abrir correos electrónicos de procedencia dudosa ni sus archivos adjuntos.
  2. No ingresar a enlaces de sitios web dudosos.
  3. Realizar respaldos offline de toda la información crítica de la organización.
  4. Intensificar las medidas de protección en el perímetro. .
  5. Mantener actualizado Windows, el antivirus y todas las aplicaciones que tenga instaladas.
  6. Informar y educar a los usuarios sobre los métodos de infección utilizados por los ciberdelincuentes para estar prevenidos y minimizar los riesgos de ser víctima de ciberataques.

Medidas específicas:

  1. Instalar el parche MS17-010 en todos los equipos con Microsoft Windows.
  2. Deshabilitar el protocolo SMBv1 siguiendo los pasos de esta guía oficial de Microsoft.
  3. Analizar la posibilidad de bloquear cualquier tráfico en los puertos 139 y 445.
  4. Si el equipo es infectado no reiniciarlo, únicamente apagarlo.
  5. Restringir la capacidad de ejecutar archivos con extensión .exe en las carpetas % TEMP% y % APPDATA%.

Conclusiones

Al momento es probable que NotPetya esté intencionalmente corrupto de forma tal que la clave para descifrar el sistema y los datos no esté disponible. Sin embargo, todavía es eficaz en hacer que la gente pague el rescate. Por lo tanto, lo más probable es que no se trate de un ransomware sino de un wiper ya que hasta el momento no hay forma de recuperar la información y el sistema cifrado ni de contactar con los delincuentes.

Creo que la protección más efectiva que una organización debe adoptar hoy, frente a las amenazas persistentes avanzadas, es un conjunto de medidas proactivas y preventivas en diferentes puntos de su organización y orientadas a procesos de la seguridad de la información, haciendo foco en la capacitación de los usuarios.

Autor: Matías D. Adés

Fuentes

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s