Petya: qué malware es, cómo funciona y cómo protegerse de más ataques

Autor: | Posteado en Noticias Sin comentarios

Los piratas informáticos han vuelto a hacerlo. El pasado martes 27 de junio, miles de compañías y entidades de muchos paises han sido víctimas de un intenso ciberataque. Según los analisis de los expertos, en esta ocasión, el ciberataque ha sido perpetrado a través de una variante de Petya, un ransomware como el WannaCry del pasado mes(30dias) de mayo sin embargo mucho mas sofisticado y peligroso.

A través de él obtienen secuestrar nuestros documentos a cambio de un rescate económico. Y lo peor de todo es que, tal y como suele ser usual en estos casos, pagar el rescate no sirve de nada. Con Petya (o notPetya o Petrwwap o cualquiera de los nombre asignados), la dirección de correo del encargado del combate ha sido suspendida. De esta forma, inclusive pese a que el encargado del ransomware tuviera la finalidad de devolver los archivos al suceder por caja, ahora es simplemente mas inútil aún.

Este nuevo combate vuelve a dejar en evidencia que continua habiendo sistemas operativos desactualizados, falta de respuestas de protección y de planes necesarios para eludir una infección. En Sage os desvelamos todas las claves de este ciberataque y la forma de prevenir que nos afecten próximas amenazas.

¿Cómo infecta Petya?

La infestación se ha producido en equipos con Windows como metodo operativo. Este malware, perteneciente a la dinastía conocida como Petya o Petwrap, es de tipo ransomware. Es aqui donde comienzan las similitudes con el ciberataque WannaCry, pese a que este último lo califican de “más sofisticado” que el del pasado mayo.

Desde el Instituto Nacional de Ciberseguridad de España, apuntan que esta amenaza maneja tres vías de propagación:

  • PsExec, en el caso de que el dispositivo afectado tenga permisos de administración.
  • Windows Management Instrumentation Command-line (WMIC), en el caso de que haya sido apto de sacar credenciales en memoria mediante una tool parecido a Mimikatz o LSADump.
  • Vulnerabilidad conocida como EternalBlue, MS17-010.

Si dicho malware(gusano) obtiene adquirir los permisos de administración sobre el sistema, suma el sector de arranque (MBR) impidiendo el camino al dispositivo. En caso contrario, inicia a cifrar definidos ficheros.

Dada su similitud con el WannaCry, ha llamado la interés que sigan tantos equipos expuestos sin modificar en instituciones tan importantes.

Una vez que infecta el equipo, desarrolla una labor para reiniciarlo al cabo de una hora. A continuación, solicita un pago de 300 dolares mediante bitcoins para poder recuperar la información a través de este mensaje:

“Si ves este texto, entonces ya no teneis camino a tus archivos, ya que han sido cifrados. Tal vez estás ocupado buscando una forma de recuperar tus archivos, sin embargo no pierdas el tiempo. Nadie puede recuperar sus archivos sin vuestro servicio de descifrado”

Una oleada internacional de ataques

La oleada de ataques dio inicio en Ucrania, el país mas perjudicado. Debido a él, los pasajeros del metro de Kiev no podían pagar con tarjeta de crédito, las vallas publicitarias dejaron de procesar y los bancos del país han visto alterado su funcionamiento normal, teniendo que suspender por un tiempo algunos beneficios ofrecidos.

No obstante, el ciberataque inmediatamente se extendió por todo el mundo. Ejemplo de ello es Rosneft, compañia situada en Rusia y uno de los mayores productos de petróleo del mundo; o la farmacéutica norteamericano Merck, la segunda mas enorme de ese país.

En cuanto a España, a diferencia de lo que sucedió en mayo, el nivel de incidencia ha sido mas bajo. Aunque no ha afectado a ninguna compañia o infraestructura estratégica, varias industrias sí que se has visto afectadas. Es el caso de la filial multinacional Mondelez, que es dueña de marcas como Oreo; o de la naviera danesa APM Terminals, que tuvo que paralizar su version en el puerto de Barcelona.

¿Qué medidas preventivas deben tomarse?

Muchas veces no somos conscientes de que los próximos en recibir un ciberataque logramos ser nosotros mismos. Por lo tanto, hayas sido o no afectado por los preliminares ataques, como medidas de prevención y mitigación se sugiere lo siguiente:

  • Mantener los equipos actualizados, tanto su metodo operativo como otros softwares instalados (programas de trabajo, respuestas de seguridad, etc.)
  • No abrir ficheros descargados de Internet o recibidos por correo electrónico de fuentes no confiables.
  • Realizar copias de protección de todos los ficheros.
  • Bloquear el trafico de los puertos TCP 135, 445, 1024-1035 en la medida de lo posible.
  • Según el Instituto Nacional de Ciberseguridad de España, es recomendable bloquear la ejecución de ficheros en rutas como por ejemplo %AppData% o %Temp%.
  • Los accesos administrativos que se hagan desde fuera de la organización solo deberán llevarse a cabo mediante protocolos seguros.

Igualmente, es el instante perfecto para cuestionar el software de seguridad que teneis contratado. Muchas veces, dejamos nuestra protección en manos de aplicaciones gratuitos sin darnos cuenta de que estamos dejando la puerta abierta a hackers poniendo en riesgo documentos de vital importancia.

¿Conoces los kit de protección de Sage? En sus dos modalidades hallaras un antivirus, un módulo de copias de protección avanzadas, una licencia de restauración del disco rigido y un tutorial de buenas practicas con conductas preventivas.

En Blog Sage | El desarrollo de software además es asunto de tus clientes

La entrada Petya: qué malware(gusano) es, como sirve y como protegerse de mas ataques en Blog Sage Experience.

Blog Sage Experience



El mejor vídeo del día Trucos de Android


Nota: La creación de esta noticia le pertenece al autor original que aparece en la firma de más arriba. No hemos eliminado en ningún momento los enlaces oficiales, ni tampoco intentamos perjudicar su posicionamiento en los motores de búsqueda.

El Administrador de QueEsGoogle.Com

Agrega tu comentario