Cuando el ciberataque a escala mundial WannaCry se creía superado, ha vuelto a suceder de nuevo. Su nombre es Petya, es también del tipo ransomware y su actuación, a escala mundial, se prevé según los expertos más avanzado y difícil de gestionar.

¿Qué sabemos de Petya?

El nuevo ransomware denominado “Petya” o “Petrwrap” se está dando a conocer como Petya (ocasionalmente Petrwrap) pero realmente es una variante nueva similar al funcionamiento del antiguo Petya descubierto ya por el año 2015 obra de los ciberdelincuentes Janus Cybercrime Solutions.

Se sabe que utiliza al menos un combo de 3 vulnerabilidades (EternalBlue, wmic y pexec) para extenderse lateralmente dentro de una red.

fuente: Pixabay

Lo primero que hace es intentar reescribir el MBR/MFT del disco duro y luego reiniciar simulando ser un chkdsk que repara el disco cuando en realidad lo que hace es cifrarlo. Si conocemos de un PC infectado que está reiniciándose, lo mejor es no dejarlo arrancar para evitar que se puedan cifrar los datos y si ya ha comenzado a hacerlo, interrumpirlo para que no logre cifrar todo. Los ficheros no cifrados se podrían recuperar con un disco de arranque y herramientas forenses básicas.

Por el momento  parece ser que se ha encontrado un workaround local (mal llamado killswitch) para evitar que el malware se ejecute. Basta con crear un fichero llamado “C:\Windows\perfc”.

Antes de reiniciar un ordenador que se sospecha que podría estar infectado, se recomienda revisar que no existe un proceso rundll32.exe. De momento no se ha logrado aclarar la relación entre el malware y este proceso, pero parece ser que hay evidencias que apuntan en ese sentido.

Modo de actuación

El ransomware Petya realiza varias acciones para expandirse lateralmente: obtener un listado de usuarios/passwords accesibles localmente, obtener un listado de máquinas conectadas en la misma red mediante NetBIOS u obtener este listado mediante DHCP (leases actuales). El precio de rescate se sitúa en los $300 dólares y la relación entre contagio y recaudación no es muy elevada, pese a su rápida propagación, ya que parece que las víctimas aprendieron de WannaCry al no acceder al pago por el rescate.

Los autores del malware cometieron el error de registrar una dirección de correo (wowsmith123456@posteo.net) en uno de los proveedores habituales y por supuesto se les ha cerrado tal dirección. Como además reutilizaron una misma dirección de bitcoin para todos los afectados, ya no disponen de un canal de comunicación con las víctimas, ahora no podrán identificar los pagos que reciban para liberar un supuesto programa descifrador.

Más allá de WannaCry

Petya actúa más allá del modo en el que lo hacía WannaCry. Su complejidad es mayor ya que está diseñado de una manera más profesional a la vez que actúa de muchas maneras con la consiguiente posibilidad de entrar en las organizaciones de maneras diferentes, como por ejemplo, vía phishing con archivos adjuntos infectados.

Víctimas

Principalmente han sido víctimas reconocidas diferentes organizaciones multinacionales. Entre los países más afectados está Ucrania donde diferentes organizaciones como su banco central, el metro Kiev, la compañía de energía del estado y la red informática del país han sido afectadas. Compañías como Moller-Maersk, compañía de transporte y servicios logísticos de origen danés, la farmacéutica MSD (Merck Sharp & Dohme) y el Parlamento Británico se sitúan entre las principales víctimas del ciberataque.

Otras grandes compañías como Mondelez International, los sistemas del bufete de abogados de DLAPiper, la inmobiliaria BNP Paribas y la agencia de comunicación Hill + Knowlton Strategies también han sido víctimas.

Recomendaciones

Estos tipos de ciberataques requieren de medidas de las que deberíamos de ser conscientes ya con anterioridad y no ser extraordinarias.

Las grandes organizaciones, si más no, deberían de tener implementadas las herramientas necesarias para preveer y actuar ante dichos ataques. Si existe una máxima en ciberseguridad es que es más económica la inversión en medidas que la recuperación ante un ataque, no solo en la parte tangible sino también intangible, es decir, reputacional.

Algunas recomendaciones presentadas por el OSI:

  • Realización de copias de seguridad periódicas en todos los dispositivos de la compañía.
  • Actuar con cautela y precaución ante todos los archivos, adjuntos, enlaces y emails que se puedan recibir de manera extraordinaria, sin esperar. Incluidas las redes sociales.
  • Revisión y atención a las actualizaciones de seguridad de programas y sistemas operativos para mantener la última versión de seguridad que evite el contagio de malware.
  • Usar cuentas de usuario sin permisos de administrador. El uso de la cuenta de administrador debe estar limitada solo a modificaciones.

Por otro lado, desde Necsia IT Consulting, nos ponemos a su servicio para ofrecer todos nuestros recursos con el objetivo de colaborar con usted si considera haber experimentado alguna acción sospechosa en su organización, en la aplicación de medidas que mitiguen o reduzcan el impacto de los últimos Ciberataques que se están sucediendo, relacionados con una nueva variante de dicho malware.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies