top of page

De WannaCry a Petya, el panorama del malware hoy.

Hace tan solo mes y medio publicamos un artículo sobre WannaCry, el gusano de tipo ransomware que se extendió por todo el mundo, creando una de las emergencias informáticas globales más importantes de la historia. Y aunque los esfuerzos de numerosas organizaciones y expertos independientes lograron detener la propagación y salvar muchos equipos infectados en menos de dos semanas, el virus siguió coleteando por un tiempo, hasta prácticamente verse erradicado hoy.


Parecieran ser pocas las personas que hoy recuerdan este episodio o muchas que lo ven como un incidente aislado; sin embargo, los más expertos sabíamos que WannaCry abría una gran brecha en ciberseguridad, siendo solo el primer eslabón de una larga cadena de nuevas amenazas; lastimosamente nuestras predicciones eran acertadas y hoy es Petya, quien ponen en vilo a la comunidad internacional.


Sin embargo, no podemos ignorar que este no ha sido un salto sencillo, en el poco tiempo que separan a WannaCry y Petya existieron numerosos acontecimientos que nos alertaban y preparaban para lo que se acercaba.


¿Qué es Petya?

Resumidamente, Petya o NotPetya (más exactamente la variante "Petrwrap"), como WannaCry, es un gusano ransomware basado en el exploid EternalBlue, que se propaga rápidamente en las redes infectadas, por medio del intercambio de archivos SMB; pero, esta vez, siendo capaz de 'secuestrar' cualquier versión de Windows (incluidas 8, 8.1 y 10) y exigiendo hasta 300 USD en Bitcoins por el rescate.


Originalmente, este virus fue identificado por Kaspersky en marzo de este año, lo que permite suponer que el malware lleva bastante tiempo propagándose y, aunque Microsoft lleva tiempo cerrando esta vulnerabilidades, aun son muchos los usuarios que se encuentran desprotegidos.


Pantalla Petya

Esta es la pantalla de Petya que amenaza a los usuarios de equipos secuestrados |Fuente: Xataka Windows

¿Cómo supimos de Petya?

Nuevamente el ataque que encendió las alarmas se originó en Europa; esta vez en la empresa energética Kyivenergo de Ucrania, la cual emitió un comunicado público anunciando su infección. Posteriormente, fue el Banco Nacional de Ucrania el que pidió implementar las respectivas medidas de seguridad ante ataques realizados a distintas entidades bancarias del país.


La infección no solo afectó entidades públicas y privadas de Ucrania, también se esparció rápidamente a otros países, principalmente de Asia, Norteamérica y Europa, donde se sabe que varias compañías tuvieron que apagar todos sus equipos y enviar a sus empleados a casa hasta que los organismos estatales solucionaran el problema.


Adicionalmente, entre las primeras organizaciones afectadas por el malware también se encuentran Mondelez, WWP, Nivea, Auchan, Laboratorios Merk, Burson Marsteller y la petrolera rusa Rosneft, donde sabemos que el ransomware alcanzó a sus servidores.


De WannaCry a Petya.

Aunque WannaCry y Petya cuentan con ciertas similitudes, especialmente en su mecanismo de expansión, no son exactamente lo mismo; existe una serie de eventos intermedios que han favorecido el desarrollo y explosión de esta nueva cepa del ransomware.


¿WannaCry fue solo una prueba?

Tras los infructuosos intentos para identificar a los atacantes de WannaCry surgieron muchas teorías alrededor de su procedencia; una de las que más fuerza tomó fue que la NSA sería la responsable del ataque, no con la intención de generar ingresos a través del secuestro (pues fueron pocos los afectados que pagaron el rescate), sino para probar el alcance que podía tener un virus que se aprovechaba de una brecha ya conocida y parchada, pero ante la cual muchos usuarios aun permanecían vulnerables (recordemos que cuando se lanzó WannaCry, ya existía una actualización de seguridad de Microsoft que hacía inmunes a los usuarios de Windows con sus sistema actualizado).


Estas acusaciones no estarían fundamentadas solo en un rumor, pues en abril de este año se dio la filtración de documentos, por parte de Shadow Brokers, que evidenciaban como esta organización estaba trabajando con exploits maliciosos, dos de los cuales se encuentran en WannaCry.


Athena y los papers de Wikileaks.

Fue solo cuestión de días para que Wikileaks alertara sobre la existencia de Athena, un malware de tipo spyware, desarrollado por la CIA con la colaboración de varias empresas.


Según revelaban los documentos filtrados, Athena es capaz de instalarse, ejecutarse y controlar cualquier equipo con un SO superior a Windows XP de forma absolutamente sigilosa e indetectable; además, la documentación publicada incluía un manual para aprender a utilizar el spyware.


EthernalRock o el gusano apocalíptico.

Apenas cuando la crisis de WannaCry se estaba mitigando, Miroslav Stampar, un experto en seguridad del CERT, ya nos advertía sobre sus descubrimientos sobre EthernalRock, los cuales fueron confirmados por Symantec tiempo después.


EthernalRock (cuyo nombre hace referencia a un enemigo imposible de roer, originalmente iba a ser llamado "DoomsdayWorm") es un virus de tipo gusano mucho más poderoso que WannaCry, no solo porque en lugar de dos, utiliza siete de los exploits filtrados de la NSA (especificamente EternalBlue, DoublePulsar, EternalChampion, EternalRomance, EternalSynergy, ArchiTouch y SMBTouch), sino porque es completamente indetectable durante el primer día de infección, lo que significa que le saca al menos 24 horas de ventaja a cualquier equipo de TI, esparciéndose por toda la red.


EthernalRock

Algunos archivos de EthernalRock en el equipo de Stampar | Fuente: Twitter


Aunque Stampar obtuvo la muestra del virus desde la Deep Web, no significa que los usuarios de la superficie estemos a salvo, de hecho el mismo experto en seguridad afirma que alguien ya lo está propagando en internet con una versión de inicio retrasado; además, por la forma de actuar de EthernalRock (expansión silenciosa e inactividad latente), resulta imposible calcular el numero actual de maquinas infectadas, así, de ser activado, podría crear un ataque mundial mucho mayor que WannaCry.


¿Cómo me protejo?

Lo cierto es que aunque WannaCry y Petya han demostrado que el mundo sigue siendo vulenerable ante brechas ya identificadas, con cada ataque hemos aprendido un poco más. Microsoft y otras organizaciones trabajamos incansablemente para desarrollar, proveer y difundir soluciones preventivas y correctivas a tiempo; por eso, tres de las recomendaciones principales para evitar ser victima de ataques cibernéticos son instalar software legal y mantenerlo actualizado, así como seguir constantemente las noticias de blogs especializados.


Adicionalmente, vale la pena recordar algunas recomendaciones de seguridad que mencionabamos en nuestro artículo sobre WannaCry:


  • Realizar backups con regularidad.

  • Utilizar un antivirus confiable.

  • Verificar las extensiones de los archivos.

A pesar de que estas son recomendaciones elementales que nos protegen de la mayoría de ataques, muchas veces las empresas no las implementan por desconocer como hacerlo y controlarlo; por eso, para obtener la asistencia y el soporte adecuado, así como algunas estrategias de protección más potentes, resulta recomendables consultar a los expertos.


Vacuna contra Petya.

Tal como hicimos con WannaCry, queremos presentarte algunas formas de prepárate contra Petya.


Nuestra primera recomendación es licenciar y actualizar tu SO a la última versión, pues Microsoft ya ha liberado una actualización de seguridad que cierra las brechas que permiten su ejecución, como lo hizo en su momento con el ataque de WannaCry.


Sin embargo, aunque Petya no cuenta con un 'kill switch' universal como el de WannaCry, el investigador de seguridad Amit Serper he descubierto una forma de prevenir su ejecución de forma local.


El hallazgo de Serper resuelve que Petya busca un archivo localmente antes de encriptar los archivos, si lo encuentra detiene la ejecución, pero si no secuestra el equipo; así, basta con crear ese archivo manualmente y se obtendrá la vacuna. Puedes encontrar los detalles para crearla en Genbeta.


La nueva muralla de Microsoft.

A la luz de este panorama desalentador, en el cual nos enfrentamos a virus cada vez más poderosos y de alcance global, Microsoft, la compañía responsable del SO afectado, no se ha quedado de brazos cruzados y ya ha anunciado una nueva medida de seguridad que llegará a los usuarios de Windows 10 con Fall Creators Update.


Esta nueva contramedida consiste en que Windows Defender será capaz de crear entornos cerrados y limitados, separando los archivos personales y del sistema de los de la red, para evitar su infección. Adicionalmente Windows será más insistente en los recordatorios para mantener actualizados nuestros PC.


Conclusión.

Aunque con cada nueva amenaza los ciberdelincuentes demuestran estarse fortaleciendo, también nuestras medidas de seguridad se hacen cada vez más poderosas, por eso es necesario no escatimar en recursos ni esfuerzos para mantener a nuestras empresas un paso adelante del cibercrimen. Las amenazas son númerosas, temibles y poderosas, pero esta es una guerra que apenas comienza y aun no está perdida.


En Kiseki IT nos esforzamos por mantenerlos informados, por eso seguiremos manteniéndote a la vanguardia en temas de seguridad informática y más. En una próxima publicación de nuestro blog, hablaremos sobre una nueva amenaza que está surgiendo, el RoT o ransomware de las cosas.



RSS Feed
Publicaciones Relacionadas
Publicaciones recientes
Archivo
Búsqueda por etiquetas
Otros canales
  • Facebook
  • LinkedIn
  • Twitter
Seguir leyendo
bottom of page