Blog de Seguridad

Petya: 60 países afectados por el último ciberataque con ransomware

Escrito por Logicalis | 3/07/17 6:42

Antes de poder olvidar las consecuencias de WannaCry, muchas empresas deben afrontar los efectos adversos de Petya.

Sólo un mes y medio después del mayor ataque cibernético de la era digital, los piratas informáticos vuelven a secuestrar información. Si entonces las afectadas fueron Telefónica, FedEx, Nissan, Hitachi, Gas Natural, Iberdrola, el Servicio de Salud Británico, Russian Railways, MegaFon, Russia Central Bank, Bank of China, Petrobras, distintas oficinas de gobierno en Japón, centros comerciales y gasolineras en China y Portugal teleco, entre otras; en esta ocasión el objetivo es bastante parecido: empresas públicas, grandes corporaciones multinacionales y negocios del ámbito de la logística y el transporte.

Una variante del ransomware Petya ha conseguido hacerse con el control de miles de dispositivos, capturando sus datos. Entre los afectados se encuentran instituciones financieras de Rusia y Ucrania, Deutsche Post, A.P. Moller - Maersk, Mondelez International, Merck & Co., el aeropuerto de Boryspil en Ucrania o la constructora francesa Saint Gobain.

Organizaciones de 60 países diferentes, incluida España, son víctimas del segundo ciberataque más importante del año, con un potencial de repercusión económica tan elevado que, unido a los efectos de WannaCry puede llegar a acarrear pérdidas cercanas a los 8 billones de dólares (Reuters).

 

Ransomware Petya y WannaCry: 2 ataques parecidos, pero no iguales

El ataque del ransomware Petya tiene algunos puntos en común con el que se perpetró a mediados de mayo de 2017:

-          El método usado por los hackers es muy similar a WannaCry o Sambacry.

-          También se solicita un pago en bitcoins a cambio de los datos secuestrados, en este caso, de 300 dólares.

Sin embargo, Petya cuenta con sus propias particularidades:

  1.       Infecta al equipo aprovechándose de la vulnerabilidad EternalBlue en Microsoft Windows, algo que no sería posible si el usuario hubiese instalado el parche Microsoft.

 

  1.       En los casos en que el ransomware detecta que esto no es posible, prueba a través de dos herramientas administrativas de Windows.

 

  1.    Una vez que ha infectado un dispositivo, se propaga rápidamente por toda la organización, gracias a un mecanismo mucho más efectivo para el despliegue del que fue empleado por WannaCry.

 

  1.       Además, en cada caso se ocupa de cifrar el MFT (Master File Table) del disco duro, dejando inoperable el Master Boot record (MBR), que queda reemplazado con el código malicioso, lo que imposibilita el acceso al sistema.

 

La forma de prevenirlo y el procedimiento a seguir si algún equipo se ha visto infectado, es similar a las acciones recomendadas en el caso de WannaCry y Sambacry.

Para la prevención existen dos caminos complementarios:

a)       Instalar el parche de Microsoft (los equipos que ejecutan la actualización más reciente del software quedarían a salvo del ataque) y comprobar que está instalada la última versión de Windows.

b)      No hacer clic en enlaces sospechosos, procedentes de fuentes desconocidas o sobre los que no se tenga certeza de su seguridad.

c)     No descargar archivos de origen desconocido.

d)     Comunicar de inmediato cualquier problema detectado al respecto, incluida la afección a algún cliente.

Quienes no supieron tomar las medidas preventivas contra ransomware a tiempo y ya son víctimas de Petya deberán abstenerse de pagar el rescate, puesto que el pago no consigue sino alentar a los criminales y, además pagar no implica recuperar la información perdida, puesto que, como ya sucedió en el caso de WannaCry, no existen garantías de que todos los archivos serán devueltos.

 

La actuación a seguir consiste en:

  1. Desconectar de inmediato el equipo de la red.
  2. Asegurarse de que tanto el cable como el WiFi están desconectados.
  3. Apagar el equipo por completo en el caso de detectarse que la infección avanza.

 

Y, por supuesto, descartar la opción de pagar el rescate por los datos, instalar el parche de seguridad que faltaba y restaurar todos los archivos desde una copia de seguridad. Si esto no es posible, hay algunas herramientas que pueden descifrar y recuperar alguna información.

No obstante, pese a que, en el caso del ataque de mayo se determinó que la motivación era principalmente económica; en esta ocasión, tal como indica el Jefe Ejecutivo de Strategic Cyber Ventures, “los indicios apuntan a que la disrupción es el fin perseguido por los criminales responsables”.