Petya: qué malware es, cómo funciona y cómo protegerse de más ataques

Los piratas informáticos han vuelto a hacerlo. El pasado martes 27 de junio, decenas de compañías y entidades de varios países han sido víctimas de un potente ciberataque. Según los análisis de los expertos, en esta ocasión, el ciberataque ha sido perpetrado a través de una variante de Petya, un ransomware como el WannaCry del pasado mes de mayo pero mucho más sofisticado y peligroso.

A través de él consiguen secuestrar nuestros datos a cambio de un rescate económico. Y lo peor de todo es que, tal y como suele ser habitual en estos casos, pagar el rescate no sirve de nada. Con Petya (o notPetya o Petrwwap o cualquiera de los nombre asignados), la dirección de correo del responsable del ataque ha sido suspendida. De esta forma, incluso aunque el responsable del ransomware tuviera la intención de devolver los archivos al pasar por caja, ahora es simplemente más imposible aún.

Este nuevo ataque vuelve a dejar en evidencia que sigue habiendo sistemas operativos desactualizados, falta de soluciones de seguridad y de planes necesarios para evitar una infección. En Sage os desvelamos todas las claves de este ciberataque y la forma de prevenir que nos afecten próximas amenazas.

¿Cómo infecta Petya?

La infección se ha producido en equipos con Windows como sistema operativo. Este malware, perteneciente a la familia conocida como Petya o Petwrap, es de tipo ransomware. Es aquí donde empiezan las similitudes con el ciberataque WannaCry, aunque este último lo califican de “más sofisticado” que el del pasado mayo.

Desde el Instituto Nacional de Ciberseguridad de España, apuntan que esta amenaza utiliza tres vías de propagación:

  • PsExec, en el caso de que el equipo afectado tenga permisos de administración.
  • Windows Management Instrumentation Command-line (WMIC), en el caso de que haya sido capaz de obtener credenciales en memoria mediante una herramienta similar a Mimikatz o LSADump.
  • Vulnerabilidad conocida como EternalBlue, MS17-010.

Si dicho malware consigue adquirir los permisos de administración sobre el sistema, cifra el sector de arranque (MBR) impidiendo el acceso al dispositivo. En caso contrario, comienza a cifrar determinados ficheros.

Dada su semejanza con el WannaCry, ha llamado la atención que sigan tantos equipos expuestos sin actualizar en organizaciones tan importantes.

Una vez que infecta el equipo, crea una tarea para reiniciarlo al cabo de una hora. A continuación, solicita un pago de 300 dólares mediante bitcoins para poder recuperar la información a través de este mensaje:

“Si ves este texto, entonces ya no tienes acceso a tus archivos, ya que han sido cifrados. Tal vez estás ocupado buscando una manera de recuperar tus archivos, pero no pierdas el tiempo. Nadie puede recuperar sus archivos sin nuestro servicio de descifrado”

Una oleada mundial de ataques

La oleada de ataques dio comienzo en Ucrania, el país más perjudicado. Debido a él, los pasajeros del metro de Kiev no podían pagar con tarjeta de crédito, las vallas publicitarias dejaron de funcionar y los bancos del país han visto alterado su funcionamiento normal, teniendo que suspender por un tiempo algunos servicios ofrecidos.

No obstante, el ciberataque rápidamente se extendió por todo el mundo. Ejemplo de ello es Rosneft, compañía situada en Rusia y uno de los mayores productos de petróleo del mundo; o la farmacéutica estadounidense Merck, la segunda más grande de ese país.

En cuanto a España, a diferencia de lo que sucedió en mayo, el nivel de incidencia ha sido más bajo. Aunque no ha afectado a ninguna empresa o infraestructura estratégica, algunas empresas sí que se has visto afectadas. Es el caso de la filial multinacional Mondelez, que es dueña de marcas como Oreo; o de la naviera danesa APM Terminals, que tuvo que paralizar su actividad en el puerto de Barcelona.

¿Qué medidas preventivas deben tomarse?

Muchas veces no somos conscientes de que los próximos en recibir un ciberataque podemos ser nosotros mismos. Por lo tanto, hayas sido o no afectado por los anteriores ataques, como medidas de prevención y mitigación se recomienda lo siguiente:

  • Mantener los equipos actualizados, tanto su sistema operativo como otros softwares instalados (programas de trabajo, soluciones de seguridad, etc.)
  • No abrir ficheros descargados de Internet o recibidos por correo electrónico de fuentes no confiables.
  • Realizar copias de seguridad de todos los ficheros.
  • Bloquear el tráfico de los puertos TCP 135, 445, 1024-1035 en la medida de lo posible.
  • Según el Instituto Nacional de Ciberseguridad de España, es recomendable bloquear la ejecución de ficheros en rutas como por ejemplo %AppData% o %Temp%.
  • Los accesos administrativos que se hagan desde fuera de la organización solo deberán llevarse a cabo mediante protocolos seguros.

Igualmente, es el momento perfecto para cuestionar el programa de seguridad que tienes contratado. Muchas veces, dejamos nuestra seguridad en manos de programas gratuitos sin darnos cuenta de que estamos dejando la puerta abierta a hackers poniendo en riesgo datos de vital importancia.

¿Conoces los kit de seguridad de Sage? En sus dos modalidades encontrarás un antivirus, un módulo de copias de seguridad avanzadas, una licencia de recuperación del disco duro y un manual de buenas prácticas con conductas preventivas.

En Blog Sage | El desarrollo de software también es asunto de tus clientes