Ayer el mundo volvió a sufrir un ataque masivo de ransomware, similar al sufrido con WannaCry, que secuestró los ordenadores de cientos de empresas y entidades gubernamentales en 25 países al momento de escribir esta nota. Los afectados varían desde simples cajeros automáticos, hasta los equipos que vigilan los niveles de radiación de la central nuclear en Chernobyl, pasando por el aeropuerto y el sistema del metro en Ucrania. El malware utilizado en etapas iniciales del ataque fue identificado como Petya, aunque más tarde se detectó una variante conocida como NotPetya de la que expertos en seguridad describen como más sofisticada que WannaCry.
NotPetya también se aprovecha de la vulnerabilidad ‘EternalBlue’, descubierta por la NSA y filtrada por Shadow Brokers, en sistemas operativos Windows no actualizados. A diferencia de WannaCry, NotPetya hace mucho más difícil recuperar los archivos del sistema porque en primera instancia fuerza el reinicio tan pronto termina de encriptarlos. Además, tal como describimos ayer, Petya y NotPetya encriptan la tabla de archivos de Windows.
Otra diferencia con WannaCry, es que NotPetya no dispone de un KillSwitch con el que podría detener su diseminación. En WannaCry, el killswitch descubierto por MalwareTech era un dominio que al estar registrado detuvo de inmediato la propagación del ransomware, al menos en un grupo mayor de ordenadores.
Una vez infecta el sistema operativo y encripta los archivos, solicita a las víctimas un pago de $300 en Bitcoins por la clave para desencriptar. Cabe señalar que los hackers utilizaban una dirección de email para que las víctimas pudieran contactarlos y por la cual estas podrían recibir el pago una vez confirmada la transferencia. El problema es que el email que estaba alojado en servidores de una empresa alemana, Posteo, ha bloqueado la dirección:
A mediodía de hoy (CEST) hemos descubierto que hay usuarios de ransomware empleando una dirección de Posteo como medio de contacto. nuestro equipo contra prácticas abusivas ha comprobado el caso inmediatamente y ha bloqueado la cuenta. No toleraremos usos delictivos de nuestra plataforma. En estos casos, el bloqueo inmediato de la cuenta es la reacción necesaria como proveedor. Desde este mediodía ya no es posible acceder a la cuenta o envíar más correos desde ella. Tampoco podrá recibir mensajes.
En otras palabras si intentas pagar por este ransomware, de nada te servirá, ya que no podrás recibir la clave de desbloqueo.
Pero el ataque no termina con la infección y secuestro de una sola víctima. El objetivo de NotPetya es diseminarse en las redes locales corporativas. Según explican expertos en seguridad informática, utiliza las herramientas de red de Windows como Windows Management Instrumentation (WMI) y PsExec para infectar otros equipos de la misma red.
Por otro lado, resulta todavía intrigante para los investigadores en seguridad informática el cómo NotPetya logró infiltrarse en los sistemas. Talos Intelligence, una empresas de seguridad informática, apunta a que pudo corromperse la actualización de un sistema de contabilidad desarrollado en Ucrania conocido como MeDoc, aunque este habría sido uno de los tantos métodos desplegados para infectar. La empresa MeDoc ha negado que sus actualizaciones estén comprometidas.
Otros expertos en seguridad informática también apuntan a que una vulnerabilidad en la suite ofimática Microsoft Office permite descargar y ejecutar código de forma remota, pero no se ha obtenido un ejemplo a analizar.
Entidades gubernamentales, Microsoft e incluso el Kremlin han dicho este Miércoles que se necesita de cooperación internacional frente a los ciberataques que con más frecuencia están afectando las instituciones a nivel global. Empresas privadas están reportando daños cuantiosos y el riesgo de que sistemas de cómputo sensibles se vean afectados es inminente.