Petya: qué malware es, cómo funciona y cómo protegerse de más ataques
Los piratas informáticos han vuelto a hacerlo. El pasado martes 27 de junio, decenas de compañías y entidades de varios países fueron víctimas de un potente ciberataque. Según los análisis de los expertos, en esta ocasión el ataque fue perpetrado a través de una variante de Petya, un ransomware como el WannaCry del pasado mes de mayo, pero mucho más sofisticado y peligroso.
A través de él, los delincuentes consiguen secuestrar nuestros datos a cambio de un rescate económico. Y lo peor de todo es que, tal y como suele ser habitual en estos casos, pagar el rescate no sirve de nada. Con Petya (o notPetya, Petrwrap o cualquiera de los nombre asignados), la dirección de correo del responsable del ataque ha sido suspendida. De esta forma, incluso aunque el responsable del ransomware tuviera la intención de devolver los archivos al recibir el pago, era simplemente imposible.
Este nuevo ataque vuelve a dejar en evidencia que sigue habiendo sistemas operativos desactualizados, falta de soluciones de seguridad y de planes necesarios para evitar una infección. En Sage os desvelamos todas las claves de este ciberataque y la forma de prevenir que nos afecten próximas amenazas.
¿Cómo infecta Petya?
La infección se ha producido en equipos con Windows como sistema operativo. Este malware, perteneciente a la familia conocida como Petya o Petwrap, es de tipo ransomware. Es aquí donde empiezan las similitudes con el ciberataque WannaCry, aunque este último es calificado como “más sofisticado” que el del pasado mayo.
Desde el Instituto Nacional de Ciberseguridad de España apuntan que esta amenaza utiliza tres vías de propagación:
- PsExec, si el equipo afectado tiene permisos de administración.
- Windows Management Instrumentation Command-line (WMIC), en el caso de que haya sido capaz de obtener credenciales en memoria mediante una herramienta similar a Mimikatz o LSADump.
- Vulnerabilidad conocida como EternalBlue, MS17-010.
Si dicho malware consigue adquirir los permisos de administración sobre el sistema, cifra el sector de arranque (MBR) impidiendo el acceso al dispositivo. En caso contrario, comienza a cifrar determinados ficheros.
Dada su semejanza con el WannaCry, ha llamado la atención que sigan tantos equipos expuestos sin actualizar en organizaciones tan importantes.
Una vez que infecta el equipo, crea una tarea para reiniciarlo al cabo de una hora. A continuación, solicita un pago de 300 dólares mediante bitcoins para poder recuperar la información a través de este mensaje:
“Si ves este texto, entonces ya no tienes acceso a tus archivos, ya que han sido cifrados. Tal vez estás ocupado buscando una manera de recuperar tus archivos, pero no pierdas el tiempo. Nadie puede recuperar sus archivos sin nuestro servicio de descifrado”.
Una oleada mundial de ataques
La oleada de ataques dio comienzo en Ucrania, el país más perjudicado. Debido a él, los pasajeros del metro de Kiev no podían pagar con tarjeta de crédito, las vallas publicitarias dejaron de funcionar y los bancos del país vieron alterado su funcionamiento normal, teniendo que suspender por un tiempo algunos servicios.
No obstante, el ciberataque rápidamente se extendió por todo el mundo. Ejemplos de ello son Rosneft, compañía situada en Rusia y uno de los mayores productos de petróleo del mundo, o la farmacéutica estadounidense Merck, la segunda más grande de ese país.
En cuanto a España, a diferencia de lo que sucedió en mayo, el nivel de incidencia ha sido más bajo. Aunque no ha afectado a ninguna empresa o infraestructura estratégicas, algunas compañías sí se han visto afectadas. Son los casos de la filial multinacional Mondelez, que es dueña de marcas como Oreo, o de la naviera danesa APM Terminals, que tuvo que paralizar su actividad en el puerto de Barcelona.
¿Qué medidas preventivas deben tomarse?
Muchas veces no somos conscientes de que los próximos en recibir un ciberataque podemos ser nosotros. Por lo tanto, hayamos sido o no afectados por los anteriores ataques, como medidas de prevención y mitigación se recomienda lo siguiente:
- Mantener los equipos actualizados, tanto su sistema operativo como otro software instalado(programas de trabajo, soluciones de seguridad, etc.).
- No abrir ficheros descargados de Internet o recibidos por correo electrónico de fuentes no fiables.
- Realizar copias de seguridad de todos los ficheros.
- Bloquear el tráfico de los puertos TCP 135, 445, 1024-1035 en la medida de lo posible.
- Según el Instituto Nacional de Ciberseguridad de España, es recomendable bloquear la ejecución de ficheros en rutas como por ejemplo %AppData% o %Temp%.
- Los accesos administrativos que se hagan desde fuera de la organización solo deberán realizarse mediante protocolos seguros.
Igualmente, es el momento perfecto para cuestionar el programa de seguridad que tienes contratado. Muchas veces, dejamos nuestra seguridad en manos de programas gratuitos sin darnos cuenta de que estamos dejando la puerta abierta a hackers y, por tanto, poniendo en riesgo datos de vital importancia.
¿Conoces los kits de seguridad de Sage? En sus dos modalidades encontrarás un antivirus, un módulo de copias de seguridad avanzadas, una licencia de recuperación del disco duro y un manual de buenas prácticas con conductas preventivas.
Eva Cortés Graduada en Administración y Dirección de Empresas. Trabaja en el sector de las telecomunicaciones y como asesora en el área de administración de empresas para pymes. Síguela en su LinkedIn.