Ayer se volvió a producir un ataque de ransomware similar al que ya nos hizo temblar con WannaCry hace pocas semanas. En esta ocasión el responsable fue el llamado NotPetya, un malware que guardaba algunas similitudes con un ransomware del año pasado pero que en realidad actuaba de forma distinta.
El ciberataque ha hecho estragos sobre todo en Ucrania, pero se ha propagado a varios países occidentales como España. Un análisis del mismo nos permite conocer cómo está actuando NotPetya, y aunque en ciertos casos es posible recuperar los datos si actuamos a tiempo, el consejo para evitar el caos es siempre el mismo: tener actualizado el sistema operativo y, cómo no, realizar copias de seguridad regularmente.
Un ransomware que no va (necesariamente) a por nuestro dinero
Como explican en The Register, aunque este ransomware pide un rescate de 300 dólares a ingresar en una cartera bitcoin, la motivación tras el ataque parece muy distinta. Por ejemplo, no cifra archivos PNG, y se centra en archivos con extensiones de lenguajes de programación como los de Python, Visual Basic, algo que explicaba el experto en seguridad the grugq.
Uno de los orígenes del problema parece haber sido el software de contabilidad MeDoc que se usa de forma masiva en empresas y gobiernos ucranianos.
El malware hace uso además de vectores de infección como el exploit EternalBlue que se usó también en WannaCry, además de otro exploit llamado EternalRomance que hace uso del puerto TCP 445 o de herramientas como psexec (para ejecutar comandos en esas máquinas a las que se va conectando).
Todas estas vulnerabilidades (EternalBlue y EternalRomance, robadas y filtradas por la NSA, fueron parcheadas por Microsoft hace meses con el parche MS17-010) se aprovechan para infectar a las máquinas y luego propagarse por redes locales de forma similar a como lo hacía WannaCry. NotPetya curiosamente no trata de ganar privilegios de administrador, y aprovecha la estructura "plana" de muchas redes empresariales en las que un administrador en un extremo de la red puede lograr acceso total en el resto de máquinas de la red.
Cómo detener a NotPetya: existe kill-switch
Según los análisis de este ransomware, entre 10 y 60 minutos después de la infección el ordenador afectado nos fuerza a reiniciarlo, y al hacerlo aparece una pantalla que imita la del chequeo de disco (CHKDSK) que aunque parece que está haciendo eso en realidad está cifrando diversos archivos de nuestro equipo.
Una de las primeras medidas si nos vemos afectados por el problema es precisamente apagar el ordenador de buenas a primeras si vemos esa pantalla de chequeo de disco. Eso nos permitirá recuperar los ficheros que no hayan sido cifrados si iniciamos el ordenador con un CD o un USB de recuperación, como por ejemplo un Live USB con Ubuntu que dé acceso al sistema de ficheros Windows para rescatar esos ficheros a un dispositivo de almacenamiento externo.
98% sure that the name is is perfc.dll Create a file in c:\windows called perfc with no extension and #petya #Nopetya won't run! SHARE!! https://t.co/0l14uwb0p9
— Amit Serper (@0xAmit) June 27, 2017
Un experto de seguridad llamado Amit Serper ha descubierto una teórica forma de evitar la infección: el 'kill-switch' consiste en la creación de un fichero de solo lectura en la carpeta C:\Windows\ que tendremos que llamar "perfc" (sin extensión). Según sus pruebas, el malware escanea esa unidad y si encuentra ese fichero no lo infecta.
Aprendiendo la lección (una vez más): copias de seguridad y actualizaciones frecuentes
El ransomware WannaCry ya hizo que muchos tomaran conciencia de lo importante que es mantener sus sistemas operativos, aplicaciones y servicios actualizados para evitar que diversos ciberataques aprovechen potenciales agujeros de seguridad en estos sistemas.
Esa medida se suma a otra igualmente importante: la realización de copias de seguridad frecuentes que al menos pongan a salvo archivos importantes en localizaciones seguras (en la nube o en sistemas de almacenamiento externo).
Es cierto que no siempre es posible para las empresas aplicar las actualizaciones de seguridad lo rápido que deberían, pero aún así algo debe cambiar en la mentalidad de dichas empresas. Los procesos de validación de esas actualizaciones son largos e implican garantizar que las aplicaciones críticas de la empresa no se ven afectadas, pero estos últimos ciberataques dejan claro el coste que puede llegar a tener que asumir una empresa que de repente debe apagar todos sus sistemas para hacer frente a estos ransomware.
En el caso de usuarios finales estos obstáculos no existen, así que os recomendamos hacer uso de esos dos métodos y ganar un poco de tranquilidad. Un disco duro externo de 4 TB cuesta apenas 100 euros, y cualquier ataque de este tipo suele pedir entre 300 y 600 dólares sin que haya garantía total de que nos dén la clave de descifrado que bloqueaba el acceso a nuestros archivos. No parece mala inversión recurrir a una unidad externa o al almacenamiento en la nube, ¿no os parece?
En Xataka | ¿Cuál es la diferencia: malware, virus, gusanos, spyware, troyanos, ransomware, etcétera?
Ver 18 comentarios
18 comentarios
hamta
Los hackers no son malos; simplemente quieren que todos actualicen sus equipos. GG.
david6757
Me hace gracia que desde el gobierno español se dice que ahora los españoles si han estado preparados con backups, actualizaciones etc etc jajajajaja, no hemos hecho nada, lo único que el ataque se centró en Ucrania.
fever
disco duro de 4 teras apenas 100€?, pues será en la luna...
sarpullido
GNU/Linux, como te quiero, ven aqui, dame un abrazo.
Flycow
En resumen: una empresa Ucraniana fue hackeada, esta empresa creó y mantiene un software muy popukar llamadl MeDoc. Los cibercriminales cuando ya habían accedido a la empresa enviaron una actualización falsa a sus clientes con este ransomware. El funcionamiento no es tan complejo, infecta una máquina con privilegios de administrador usando una herramienta “mimikatz”, que básicamente inyecta al proceso del grupo de administradores (lsass.exe) un archivo malocioso (ddl) y de esa forma obtiene privilegios para acceder a las contraseñas (accede por Wdigest). En ciertas redes empresariales un ordenador con privilegios de administrador puede tener acceso al resto de máquinas. Aún así el ransomware utiliza dos exploits. De esta forma infecta el resto de máquinas.
Alguien que lea esto podría hacer un .bat (o .vbs) que cree ese archivo “perfc” en la carpeta Windows?
antonio.bravo.39
Cada día hay mas eventos de este tipo. Me pregunto si alguno de ellos ha servido para comprobar quién vale en una empresa y quién no
totlazohtla
Como a veces el sentido común no esta debidamente desarrollado en cada individuo, se debe aprender a usar Internet de forma correcta:
- El navegador te dice qué sitios son seguros y cuales no. Haz caso y evita aquellos con advertencias.
- Evita páginas con demasiada publicidad, sobre todo aquellos enlaces de redes sociales.
- Si se recibe correo de fuentes desconocidas no lo abras. Revisar la dirección y nó solo el nombre. También tu correo tiene filtros de seguridad.
- Si tu información es importante, respáldala fuera de tu PC (DVD's o Discos Duros Exernos).
hectorfreeland
Y una vez más como paso con WannaCry las soluciones de seguridad empresariales de Panda Security Advance Defense y Advance Defense 360 fueron capaces de bloquear el ataque desde el momento cero. Cosa q la solución q utiliza Telefónica (Kaspersky Security 10 Endpoint) no pudo parar. Pero nos empeñamos en degradar a empresas españolas con tecnología punta y de ultima generación. Es más el instituto criptográfico español le pide a Panda la trazabilidad de las amenazas y los demás laboratorios de seguridad le piden información, ya que estas soluciones son capaces de trazar los vectores de infecciones de cualquier tipo de malware. Una vez más los medios descriminan lo capaces q somos lo ingenieros españoles y dan más visibilidad a empresas extrajeras. Gracias equipo de Panda Security x vuestra innovación y vuestra dedicación.