Clicky

El ataque de NotPetya: Lo que sabemos hasta ahora

ransomware NotPetya

Existe una manera de evitar que la actual variedad del malware se ejecute en los equipos

El brote de ransomware del martes golpeó a muchas empresas y entidades gubernamentales en todo el mundo, pero de lejos las víctimas más numerosas se encuentran en Ucrania.

El proceso de infección

El malware comprometido no era, como se creía inicialmente, el ransomware original de Petya o la variante previamente vista PetrWrap.

NotPetya, como ha sido denominada esta nueva amenaza, se hace definitivamente parecer a Petya y utiliza algo de su código, pero tiene sus propias características específicas:

Según los investigadores de Kaspersky Lab, espera de 10 a 60 minutos después de la infección para reiniciar el sistema y, una vez hecho esto, comienza a cifrar la tabla MFT en particiones NTFS, sobrescribiendo el MBR con un cargador personalizado con una nota de rescate.

NotPetya utiliza una clave AES de 128 bits para cifrar archivos en la PC infectada (la misma clave se utiliza para todos los archivos), luego cifra esa clave con una clave pública RSA de 2048 bits y la guarda en un archivo README. En teoría, después de que se pague el rescate, los atacantes pueden usar su clave RSA privada para descifrar la clave AES almacenada, y las víctimas pueden usarla para restaurar sus archivos.

"Encontramos que el ransomware no cifra la totalidad de sus archivos con las extensiones correspondientes, sino que cifra hasta el primer mebibyte de datos. Esto se hace presumiblemente para ahorrar tiempo durante el proceso de cifrado, pero también se asegura de que está cifrado lo suficiente del archivo para ser poco probable que se pueda restaurar sin pagar el rescate", señaló el analista de investigación de amenazas de Webroot, Tyler Moffitt.

Los mecanismos de propagación de NotPetya

NotPetya utiliza una variedad de técnicas para entrar en las redes y propagarse a través de ellas, de computadora a computadora.

"Las fuentes de confianza y los informes de código abierto han sugerido que el vector de infección inicial para esta campaña fue una actualización envenenada para la suite de software MeDoc, un paquete de software utilizado por muchas organizaciones ucranianas", compartieron los investigadores de FireEye.

"La sincronización de una actualización de software de MeDoc, que ocurrió el 27 de junio, es consistente con el informe inicial del ataque del ransomware, y la sincronización se correlaciona con el movimiento lateral a través de PSExec que observamos en las redes de víctimas a partir de las 10:12 UTC. Además, el sitio web MeDoc muestra actualmente un mensaje de advertencia en ruso que indica: 'En nuestros servidores se está produciendo un ataque de virus. Nuestras disculpas por los inconvenientes temporales!'".

"Nuestro análisis inicial de los artefactos y el tráfico de red en las redes de las víctimas indican que se utilizó, al menos en parte, una versión modificada del exploit EternalBlue SMB, para propagarse lateralmente junto con los comandos WMI, MimiKatz y PSExec para propagarse a otros sistemas", agregaron.

Parece que los atacantes no querían basarse simplemente en los exploits EternalBlue y EternalRomance SMB para propagar el malware dentro de las redes.

MimiKatz se utilizó para extraer las credenciales de administrador de red de la memoria de las máquinas infectadas. Y Windows PSExec y Windows Management Instrumentation (WMI) - herramientas de administración del sistema normalmente encontradas en las computadoras Windows de las empresas - se utilizaron para comprometer remotamente otros sistemas en la red local.

También hay reportes de que el malware pudo haber sido entregado a través de correos electrónicos de phishing pero, si resultan ser verdadero, este método de entrega no era de importancia primordial.

ransomware en un supermercado de Ucrania

¿Qué puedes hacer?

Si tu organización no ha sido afectada por el malware, este es el momento perfecto para instalar el parche para EternalBlue y EternalRomance (MS17-010) proporcionado en marzo por Microsoft.

Pero eso no será suficiente.

"Incluso si es parcheado un servidor, si el ordenador portátil del administrador del sistema se infecta con Petya ransomware, puede usar esas credenciales de administrador para saltar a los servidores en una red", explicó Ryan O'Leary, de WhiteHat Security.

"Si está comprometida una credencial administrativa ampliamente utilizada, podría muy rápidamente ser un juego para muchos sistemas, independientemente de si se ha aplicado o no el parche para MS17-010", señalaron los investigadores de Arbor Networks.

En muchas empresas, apuntaron, las típicas actividades de administración remota a través de PSExec y WMI no serán bloqueadas y probablemente volarán bajo el radar.

"Evite cualquier falsa sensación de seguridad que pueda derivarse del parche MS17-010 y preste atención a las llamadas de larga data para una segmentación de red apropiada para limitar el daño de Petya y otros programas maliciosos", aconsejaron.

Microsoft tiene más consejos sobre qué hacer si ya ha sido golpeado con el ransomware.

Además, actualmente existe una manera de evitar que la actual variedad del malware se ejecute en los equipos:

Aquí puedes encontrar una guía paso a paso.

¿Quién está detrás de este último ataque?

A primera vista, parece un simple ataque de propagación de ransomware montado por criminales cibernéticos que están detrás del dinero.

Pero el hecho de que el mecanismo de monetización haya sido fácilmente frustrado - el correo electrónico a través del cual las víctimas deben ponerse en contacto con los atacantes y confirmar que ha sido efectuado el pago del rescate - hace que los investigadores crean que ganar dinero no era el objetivo principal.

Añadir a esto el hecho de que las víctimas de Ucrania son las más numerosas y de alto perfil, que el ataque golpeó un día antes de una fiesta nacional de Ucrania (Día de la Constitución), y parece que el objetivo principal del ataque era causar estragos.

Los dedos han apuntado hacia los hackers rusos como los culpables, pero en última instancia la evidencia concreta para tales acusaciones nunca podría ser encontrada.

Otro importante desconocido en este punto es si NonPetya es un componente de un ataque más elaborado, señaló Daniel Miessler, director de servicios de asesoramiento de IOActive.

"¿Lo que estamos viendo ahora pretende ser una distracción irresistible?", se pregunta.

Algunos informes han señalado que, en algunos casos, el ransomware también fue acompañado por el robo de información malware.

Jesus_Caceres