NotPetya el 27-Junio-2017

Ransonware Ha puesto a gobiernos y multinacionales de rodillas y los expertos aseguran que esto no es nada. Vendrán cosas peores. Pero de momento tenemos suficiente con Petya, conocido también como NotPetya porque algunos especialistas no tienen aún muy claro contra qué bicho nos estamos jugando los cuartos. Es en todo caso, el ataque de 'ransomware' más virulento que ha vivido el planeta y, sin ninguna duda, obra de auténticos profesionales.

“Este ransomware es bastante más grave que Wannacry”, aseguraba a Teknautas Fernando Díaz, analista de malware de la empresa Hispasec, nada más conocerse el ataque. A lo largo del día de ayer esta impresión sería compartida por todos los expertos que han tenido contacto con esta máquina de tumbar redes a gran velocidad: “5.000 sistemas caídos en menos de 10 minutos”, según Dave Kennedy.

Parar el avance de Petya, el gusano-ransomware más destructivo conocido hasta el momento, era el principal reto de expertos de todo el mundo, a la hora de escribir estas líneas. De momento sin mucha suerte. Desenchufar el equipo de la corriente justo cuando se está apagando o crear un archivo con el nombre perfc.dll, en algunos casos puede prevenir infecciones, pero de momento no parece ser la panacea definitiva.

¿Cómo se coló el virus en las empresas?

Ayer el temible Wannacry que sufrieron empresas de Europa y Asia el pasado mayo pasó a ser una simple prueba de concepto de lo que acababa de llegar: Petya, un virus totalmente profesional, bien diseñado en su código y forma de atacar y dedicado expresamente a hacer el mal. Petya se parece a Wannacry en que es un virus ransomware que viaja encapsulado dentro de un gusano informático, el cual se cuela por una vulnerabildad del protocolo de compartición de archivos SMBv1, presente en la mayoría de sistemas Windows, usando para ello el 'exploit' o programa malicioso EternalBlue, que el grupo de hackers ShadowBrokers robó a la NSA.

Hasta aquí los parecidos porque Petya es mucho más complejo y puede entrar de otras maneras en una organización: mandar emails de 'phishing' con documentos de Excel (.xls) adjuntos infectados. Una vez ha penetrado en un ordenador, intenta adentrarse en la red corporativa (lo que se llama hacer “movimientos laterales”), buscando ordenadores en los que funcione el exploit EternalBlue.

Si esto no funciona, tiene aún recursos para saltar de máquina en máquina, dentro de la red corporativa, como buscar credenciales en el ordenador atacado y probarlas en otros, por si alguien usó la misma contraseña en dos sitios y consigue el acceso. Esto lo realiza usando herramientas comunes de Windows que le sirven también para buscar otros agujeros y colarse, siempre dentro de la red corporativa.

“Una vez ha infectado el equipo de la víctima emplea varias técnicas para infectar otras máquinas dentro de la misma red, una es EternalBlue pero también Psexec, una utilidad para Windows que permite ejecutar comandos en máquinas de la misma red que tienen abierto el puerto 445 o 139”, confirma el experto en seguridad informática Jorge SoydelBierzo. Así, explica, “si las máquinas de tu red tienen parcheado lo de EternalBlue pero no muy bien configurados esos puertos, Psexec puede ejecutar lo que quiera en ellas”. Lo mismo para otra heramienta llamada WMI.

Fuente de la Noticia

seguridad/ramsonware/notpetya/notpetya.txt · Última modificación: 2017/06/29 20:49 (editor externo)
Recent changes RSS feed Creative Commons License Donate Minima Template by Wikidesign Driven by DokuWiki