Nueva variante de ransomware conocida como Petya está
afectando una amplia gama de industrias y organizaciones, incluyendo
infraestructura crítica como energía, banca y sistemas de transporte.
Aamir Lakhani, estratega senior de Seguridad en Fortinet,
explica que se trata de una nueva generación de ransomware diseñado para
aprovechar las mismas vulnerabilidades que fueron explotadas durante el
reciente ataque de WannaCry el pasado mayo.
“El nuevo ataque, conocido como Petya, es algo a lo que
nos referimos como un ransomworm. Esta variante, en lugar de dirigirse a una
sola organización, utiliza un enfoque amplio que se dirige a cualquier
dispositivo que su gusano pueda encontrar y sea capaz de explotar”, comenta
Lakhani.
Según el experto, hay razones para suponer que este
ataque se inició con la distribución de un documento de Excel que explota una
conocida vulnerabilidad de Microsoft Office. Una vez que un dispositivo se
infecta a través de este vector, Petya comienza a aprovechar la misma
vulnerabilidad utilizada por WannaCry para propagarse a otros dispositivos. El
comportamiento semejante a un gusano que exhibe este malware se debe a su
detección activa para un servidor SMB. Parece que se está extendiendo a través
de EternalBlue y WMIC.
Una vez que un dispositivo vulnerable ha sido
intervenido, Petya parece afectar el registro de arranque principal (MBR, por
sus siglas en inglés) durante el ciclo de infección. Luego proporciona al
usuario una nota de rescate que dice: “Sus archivos ya no son accesibles porque
han sido encriptados”, a la vez que exige un pago aproximado de USD300 de
rescate en la moneda digital Bitcoin. Después especifica que apagar la
computadora dará lugar a la pérdida completa del sistema.
“Esta es una táctica distinta a la que se ve en otras
versiones de ransomware, como la de un reloj de cuenta atrás o el borrador
gradual de archivos de datos. Con la mayoría de los ataques de ransomware, la
única pérdida potencial son los datos. Debido a que Petya altera el registro de
arranque principal, el riesgo es la pérdida de todo el sistema. Además, hace el
reinicio del sistema en un ciclo de una hora, agregando un elemento adicional
de denegación de servicio al ataque”, explica el representante de Fortinet.
Además de las vulnerabilidades de Microsoft Office, Petya
usa el mismo vector de ataque que WannaCry, explotando las mismas
vulnerabilidades de Microsoft que fueron descubiertas por los Shadow Brokers a
principios de este año. Sin embargo, debido a que se utilizaron vectores de
ataque adicionales en este exploit, el parche por si solo habría sido
inadecuado para detenerlo completamente, lo que significa que el parche debe
combinarse con buenas herramientas y prácticas de seguridad. “Los clientes de
Fortinet, por ejemplo, estaban protegidos de todos los vectores de ataque, ya
que fueron detectados y bloqueados por nuestras soluciones ATP, IPS y NGFW.
Además, nuestro equipo AV emitió una nueva firma antivirus a las pocas horas
del descubrimiento para mejorar la primera línea de defensa”, indica Lakhani.
Llama la atención que a pesar de la divulgación de las
vulnerabilidades y parches de Microsoft, y la naturaleza mundial del ataque de
WannaCry, aparentemente hay miles de organizaciones, incluyendo aquellas que
manejan infraestructura crítica, que han fallado en parchear sus dispositivos.
Esto también puede ser simplemente una prueba para entregar futuros ataques
dirigidos a vulnerabilidades recientemente reveladas.
Lakhani pone de relieve que WannaCry no tuvo mucho éxito
desde una perspectiva financiera ya que generó pocos ingresos para sus
desarrolladores. Esto se debió, en parte, porque los investigadores fueron
capaces de encontrar un interruptor que desactivó el ataque. La carga útil de
Petya, sin embargo, es mucho más sofisticada aunque queda por ver si tendrá más
éxito económico que su predecesor.
El experto de Fortinet indica que hasta el momento, hay
dos cosas claras: 1) demasiadas organizaciones practican una mala higiene en la
seguridad. Cuando un exploit apunta a una vulnerabilidad conocida para la cual
un parche ha estado disponible durante meses o años, las víctimas sólo pueden
culparse a ellas mismas. Los elementos claves de este ataque apuntaban a las
vulnerabilidades para las cuales los parches estaban disponibles durante algún
tiempo. Y 2) estas mismas organizaciones tampoco disponen de herramientas
adecuadas para detectar este tipo de explotaciones.
Fuente: Diarioti.com