El nuevo ransomware Petya no ha cometido los errores de WannaCry

Escrito por Alberto García
Virus

Ayer asistimos a un nuevo ataque por parte de un ransomware llamado Petya (o más bien, una variante del mismo llamado NotPetya o GoldenEye), el cual está causando estragos en por ser más resistente que WannaCry. El ataque ha afectado a todo tipo de empresas y organismos estatales en Europa, en países como Ucrania (llegando incluso a los ordenadores que miden la radiación en Chernobil) o Francia (a Auchan o a la compañía ferroviaria del páis, SNCF).

Petya ha aprendido de los fallos de WannaCry, aunque no es suficiente

Y todo ello debido a que sus creadores han aprendido de los errores que cometió WannaCry, los cuales provocaron que el ransomware perdiera fuerza en unos pocos días. Este ransomware empezó a circular en 2016, tal y como recogieron nuestros compañeros de RedesZone. La versión actual mejora a esa, y añade un cifrado mucho más seguro.

ransomware

Entre los afectados se encuentran más de 2.000 organismos que van desde empresas como Maersk, dedicada al transporte y logística de containers, Merck, una compañía médica, e incluso al gobierno y bancos de Ucrania, así como hasta los ordenadores que usan algunas cadenas de supermercados.

Para propagarse, el ransomware utiliza la misma vulnerabilidad que WannaCry, llamada Eternalblue y que se encontraba en el set de herramientas que utilizaba la NSA para hackear y que filtró Shadow Brokers. Mientras que WannaCry era básicamente un proyecto sin acabar realizado por hackers de Corea del Norte, lo cual lo hizo sencillo de bloquear (básicamente, con un “kill switch”), Petya ha aprendido de todos esos fallos y es realmente resistente.

Petya no sólo aprovecha una de las herramientas de hackeo de la NSA, sino que usa hasta tres

El código de Petya, según han analizado ya algunos expertos de seguridad, no incluye ese error. WannaCry se propagaba como un gusano por Internet en ordenadores vulnerables y no parcheados con Windows. Petya, por otro lado, incluye otras herramientas para propagarse incluso en ordenadores parcheados, usando documentos de Office en formato Excel o Word para lanzar macros maliciosos.

Junto con este fallo, Petya usa otra vulnerabilidad de la NSA llamada EternalRomance, y parcheada por Microsoft también en marzo, así como otra llamada EsteemAudit enfocada a Windows XP y Windows Server 2003, la cual Microsoft parcheó de manera excepcional hace un par de semanas.

Una vez que Petya está dentro de una red, roba las credenciales de acceso de administrador, obteniendo control total sobre herramientas de manejo del sistema como Windows PsExec y WMI (Windows Management Instrumentation). Con sólo acceder a estos permisos en un ordenador, el ransomware puede infectar al resto de la red, lo cual tiene en vilo a los administradores de ordenadores en empresas.

Bitcoin, la criptmoneda más conocida

Otro fallo que cometió WannaCry es no establecer una dirección única de pago por cada ordenador infectado, ya que usaron sólo cuatro y no tuvieron manera de identificar quien pagaba para enviarle la clave de descifrado. La variante de Petya simplemente añade un paso manual para cerciorarse: enviar una prueba de pago de los 300 dólares en Bitcoin a una dirección de email, lo cual puede dar alas a pensar que pueden dar la clave de descifrado de los ordenadores, aunque esto no suele ocurrir y siempre es recomendable no pagar. Además, el email al que se envían esas pruebas, gestionado por Posteo, ha sido eliminado, por lo que el hacker ya no tiene acceso a esa cuenta.

Por último, mientras que WannaCry cifraba los archivos del PC, Petya obliga a reiniciar el PC para ejecutarse en el arranque y cifrarlo, por lo que, si te aparece un mensaje de Check Disk al arrancar el PC, tienes que apagarlo de inmediato, ya que así puedes salvar el mayor número de archivos posible. Para impedir que se distribuya por una red local, es aconsejable bloquear la ejecución del archivo C:\Windows\perfc.dat.

Fuente > Wired

Continúa leyendo
  • David

    Y digo yo ¿no han tenido tiempo de parchear los sistemas?
    En mi organización decidieron parchear el mismo día de Wannacry servidores y clientes hasta el nivel máximo, independientemente del impacto ya que eran conscientes de que era la solución menos mala

  • Cada vez hay ransomware más potentes. El mudo está en vilo.

  • Angel José

    La única protección real es tener copia de todo en discos duros externos desconectados de Internet., ahí no llegará jamás ni el virus más potente inimaginable..