Seguridad

Petya o NotPetya: así funciona (y así se evita) el último ransomware masivo

El ransomware de las cosas llegará en 2017

Mientras se están detallando los procedimientos de infección del último ransomware global -la variante del famoso PETYA-, surgen voces que defienden que se trata de una ciberamenaza completamente nueva.

Mondelez, Maersk, GroupM (WPP), DLA Piper, el gobierno ucraniano o Merck son sólo algunos de los grandes nombres afectados por la última gran campaña de ransomware masiva. Se trata de una variante de la ciberamenaza PETYA, la cual bloquea el acceso a los datos del equipo y exige para su devolución el abono de un rescate del equivalente a 300-400 dólares en bitcoins. Este malware no es nuevo, ya que el año pasado comenzó a hacer sus pinitos hace más de un año, pero sí que es inusitado el alcance y profundidad que ha logrado en esta ocasión.

La firma de seguridad Trend Micro ha identificado este ransomware como RANSOM_PETYA.A, al cual atribuyen más capacidades que sus predecesores. “No sólo este malware tiene la posibilidad de sobrescribir el registro de arranque principal del sistema afectado con el fin de bloquear el acceso a los usuarios, sino que también es interesante observar que para llegar a las víctimas utiliza un servicio de almacenamiento cloud legítimo, en este caso lo hace a través de Dropbox“, nos dicen desde la empresa.

El método de infección es muy sencillo: las víctimas reciben un email personalizado que invita a leer una aparente carta o mensaje de negocios en el que un “aspirante” busca un puesto de trabajo en una empresa. Se presenta a los usuarios con un hipervínculo a un lugar de almacenamiento de Dropbox, que supuestamente permitiría la descarga del currículum vitae (CV) del candidato.

Por supuesto, el archivo descargado no es en realidad un CV, sino más bien un archivo ejecutable de extracción automática que después desencadena la descarga de un troyano en el sistema. El troyano ciega a los programas antivirus instalados antes de la descargar (y ejecutar) el ransomware PETYA.

WannaCry, una prueba de fuego para el software de seguridad

Una vez ejecutado, PETYA sobrescribe el arranque de todo el disco duro (MBR), haciendo que Windows se cuelgue y muestre una pantalla azul. En caso de que el usuario trate de reiniciar su PC, el MBR modificado le impedirá la carga de Windows con normalidad y, en cambio, le dará la bienvenida con una calavera ASCII y un ultimátum: pague una cierta cantidad de bitcoins o perderá el acceso a sus archivos y al equipo.

¿Y si no es PETYA?

Sin embargo, nada de todo esto está claro por el momento. Y es que desde Kaspersky Lab han alertado esta tarde de que los resultados preliminares sugieren que no es una variante de Petya como se había informado públicamente, sino un nuevo ransomware que no se ha visto antes. De hecho, desde la marca lo denominan como NotPetya. Según estos investigadores, se trata de un ataque complejo que involucra varios vectores. “Podemos confirmar que el exploit modificado EternalBlue se ha usado para la propagación, al menos dentro de la red corporativa”, indican.

En cualquier caso, los datos de telemetría de Kaspersky confirman, hasta la fecha, el ataque a unos 2.000 usuarios. Las organizaciones de países como Rusia y Ucrania han sido las más afectadas. Además hemos registrado impactos de este ataque en Polonia, Italia, Reino Unido, Alemania, Francia, Estados Unidos, España y en otros países.

¿Cómo evitar la infección?

Una vez superado el primer impacto mediático y social, cabe preguntarse cuáles pueden ser las medidas preventivas que nos ayuden a evitar ser afectados por este virus. Los expertos en ciberseguridad de Innotec (Grupo Entelgy) han elaborado una serie de recomendaciones en ese sentido, que incluyen:

  • Actualizar el sistema operativo y todas las soluciones de seguridad, así como el cortafuegos personal habilitado.
  • Utilizar solo protocolos seguros en los accesos administrativos desde fuera de la organización.
  • Mantener una conducta de navegación segura, empleando herramientas y extensiones de navegador web completamente actualizado.
  • Activar la visualización de las extensiones de los ficheros para evitar ejecución de código dañino camuflado como ficheros legítimos no ejecutables.
  • Deshabilitar las macros en los documentos de Microsoft Office y otras aplicaciones similares.
  • En el caso de haberse visto afectados por esta campaña y no dispusieran de copias de seguridad, los expertos recomiendan conservar los ficheros que hubieran sido cifrados por la muestra de ransomware antes de desinfectar la máquina, ya que no es descartable que en un futuro apareciera una herramienta que permitiera descifrar los documentos que se hubieran visto afectados.

Sobre el autor de este artículo

Alberto Iglesias Fraga

Periodista especializado en tecnología e innovación que ha dejado su impronta en medios como TICbeat, El Mundo, ComputerWorld, CIO España, Kelisto, Todrone, Movilonia, iPhonizate o el blog Think Big de Telefónica, entre otros. También ha sido consultor de comunicación en Indie PR. Ganador del XVI Premio Accenture de Periodismo y Finalista en los European Digital Mindset Awards 2016.