The IT Mag

Puntos clave para entender el ciberataque del virus Petya

3 minutos de lectura
Por Miguel Ángel Pérez - junio 30, 2017    Ciberguerra, ciberseguridad, Ransomware, Tendencias TI, Petya

ciberataque, ciberseguridad, ESET

Luego de un análisis del impacto generado por el reciente ataque de ransomware (secuestro de información) a través de Petya y con origen en Ucrania, la compañía proveedora de soluciones de ciberseguridad ESET comparte algunos puntos clave al respecto.

En definitiva, es una realidad que el ataque cifró información de máquinas de todo el mundo, afectando compañías de distintas industrias como bancos, red eléctrica y empresas postales, entre otras.

Camilo Gutiérrez, jefe del Laboratorio de ESET Latinoamérica, explica a través de un comunicado que el martes 27 de junio de 2017 se dejó en evidencia que los sistemas no se encuentran actualizados, además de una falta importante de aplicación de soluciones de seguridad y planes necesarios para evitar una infección.

Para despejar algunas de las dudas con relación al ataque de Petya, la compañía dice que una de las características de este ransomware es que no sólo cifra los archivos con una extensión determinada, sino que además intenta hacerlo, generalmente con éxito, en el el MBR (Master Boot Record), que es el registro principal de arranque. Se propaga a través de técnicas utilizadas por 'gusanos' para viajar por la red hacia nuevos equipos y, hace uso de ellos para explotar vulnerabilidades en equipos que no han sido actualizados.

¿Es igual de poderoso que WannaCryptor?

Ambos tienen el mismo impacto de impedir el acceso a la información almacenada en el sistema. Sin embargo, este nuevo ataque no sólo cifra la información que se encuentra en los equipos, sino que, luego de que se reinicia, deja inutilizable al sistema operativo, por lo que las víctimas se ven obligadas a realizar una reinstalación.

¿Qué es lo que hace exactamente esta amenaza?

Luego de que el ransomware es ejecutado, crea una tarea programada con el fin de reiniciar el equipo en un determinado tiempo. Verifica si existen carpetas o discos compartidos para propagarse. A continuación, comienza a cifrar archivos que contengan una determinada extensión. Por último, el malware intentará eliminar los registros de eventos para no dejar rastro alguno, como también ocultar sus acciones.

¿Cómo se propaga de un país a otro? 

Una vez que logra infectar un equipo, intenta extraer las credenciales del usuario para luego usarlas con PsExec y WMIC para realizar una búsqueda de carpetas y discos compartidos, y así propagarse por la red a la cual el equipo esté conectado. De esta manera, logra infectar equipos situados en distintos países y regiones.

Llegó a América Latina, y en la mayoría de los casos, a equipos de empresas multinacionales conectados en red con los de otras filiales en Europa o Asia, desde donde se propagó gracias a su capacidad de gusano.

¿Qué se puede hacer para evitarlo?

Tanto en hogares como en empresas, una solución es contar con un antivirus configurado correctamente. Además, la red debe estar configurada y segmentada. También es  necesario monitorear constantemente el tráfico para detectar algún tipo de comportamiento fuera de lo normal.

Es esencial realizar un estudio detallado de la información más relevante y hacer un backup de la misma, para que, en caso de que se cifre, haya una forma de restaurarla.

Si estoy infectado y no puedo acceder al sistema, ¿cómo tendría que avanzar?

Hay técnicas forenses para intentar acceder a los archivos cifrados, pero en realidad no hay mucho que se pueda hacer más que aplicar el backup, lo cual sería crucial para evitar la reinstalación del sistema operativo.

En última instancia, si no hay backup, los cibercriminales siempre ofrecerán la opción de pagar el rescate, pero no es recomendable ya que mientras siga siendo rentable, el ransomware continuará creciendo.

¿Se puede dar con los autores del ataque?

No por ahora. A diferencia de una botnet, por ejemplo, no hay un Centro de Comando y Control al que se conecte la amenaza como para rastrearlo y dar con los autores. De usarlo, seguramente sería un servidor ajeno al cual atacaron para tomar el control y accederían desde TOR, logrando el anonimato. Por otro lado, el pago del rescate se hace en bitcoins y, por las características de esta criptomoneda, se hace prácticamente imposible rastrear su destino final.

“Los ataques continúan creciendo y evolucionando, por lo que desde este lado de la industria, seguimos apostando por la prevención y la concientización, que son claves para evitar ser víctimas”, finalizó el experto.

¿Tienes un proyecto? ¡Visita nuestra sección