El letal e innovador ciberataque de NotPetya
Como si de una epidemia se tratara, una vez más un malware ha atacado y ha conseguido tumbar a gobiernos y multinacionales, haciendo ver que el WannaCry era tan solo un aperitivo. Inicialmente, el malware en cuestión fue identificado como una variación del ransomware llamado Petya.
No obstante, tras un análisis más exhaustivo, la mayoría de expertos coincide en que se trata de un virus cualitativamente diferente, aunque ha reutilizado gran parte del código del citado Petya.
Uno de los aspectos a destacar de este brote es la enorme complejidad y virulencia de la infección, pues se estima que sea la más grande y dañina hasta el momento.
En menos de diez minutos, 5.000 sistemas se infectaron con este fatal malware. Empresas como Mondelez, DLA Piper, Maersk… y bancos de España, Ucrania, India, Rusia y Reino Unido, entre otros muchos que se van sumando
¿Qué hace diferente a NotPetya?
Al igual que ocurrió con el reciente caso del ransomware WannaCry, llama poderosamente la atención la combinación de técnicas tan complejas que han sido utilizadas en la elaboración de este malware.
NotPetya no solo usa la vulnerabilidad EternalBlue. Fue utilizada por WannaCry, también maneja otras como robo de credenciales de memoria, elevación de permisos, etc.
Es muy destacable el hecho de que, por primera vez desde hace tiempo, este virus utiliza un “periodo de incubación” para retrasar su detección, disponiendo de más tiempo para propagarse.
También llama la atención la relativa ineficiencia de su soporte comercial o de cobro. Esto ha hecho que los expertos piensen que se trata, más bien, de una ciberguerra enmascarada como acción de secuestro comercial.
¿Cómo se contrae la infección?
Aun disponiendo de herramientas tan potentes de propagación, el NotPetya suele contraerse a través de vías básicas y conocidas: correo electrónico o descarga de archivos. Hoy en día, todas las empresas y particulares disponen (en mayor o menor medida) de sistemas de protección que hacen poco probable que los métodos de infección, descritos anteriormente, funcionen fuera de la red local. Es por ello que el malware tiene que recurrir al error o imprudencia humana para poder penetrar.
Algunas de las maneras que tiene de infectar son las siguientes:
- Manda emails de “phishing” con documentos de enlaces maliciosos como Excel (xls) adjuntos infectados y busca ordenadores en los que el exploit EternalBlue esté operativo.
- De no funcionar esta vía, dentro de la red corporativa y aprovechando vulnerabilidades de Windows, salta de máquina en máquina atacando y buscando aún más accesos y agujeros por los que filtrarse.
El desconocimiento por parte de los usuarios, hace que sea cuestión de tiempo y de estadística que se acabe abriendo algún archivo de fuente no confiable. Una vez haya infectado, comienza la masacre. Tras una espera de entre diez minutos y una hora se reinicia automáticamente y ya todo se encuentra cifrado.
¿Cómo prevenir NotPetya?
Aunque existen sistemas de detección de malware predictivos, estos nunca serán 100% efectivos, con lo cual las únicas herramientas de protección ante la infección inicial son el sentido común y no abrir archivos descargados de internet o que provengan de fuentes poco fiables.
Para prevenir la expansión posterior y minimizar los daños, también hay que comprobar que los sistemas estén actualizados correctamente. Realizar copias de seguridad de los ficheros, además de otras medidas. El CCN-CERT recomienda lo siguiente:
- Actualizar el sistema operativo y todas las soluciones de seguridad, así como tener el cortafuegos personal habilitado.
- Los accesos administrativos desde fuera de la organización sólo deben llevarse a cabo mediante protocolos.
- Mantener una conducta de navegación segura, empleando herramientas y extensiones de navegador web completamente actualizado.
- Activar la visualización de las extensiones de los ficheros para evitar ejecución de código dañino camuflado como ficheros legítimos no ejecutables.
- Deshabilitar las macros en los documentos de Microsoft Office y otras aplicaciones similares.
Parece no ser casualidad que el año que viene se regule la ley de protección de datos (GDPR), pues se espera, además, que vengan ataques peores, por lo que hay que estar muy bien informados y preparados.
Desde mrHouston recordamos que la ciberseguridad no es un juego… ¿Te vas a arriesgar a estar desprotegido?