Tras el ataque del Wannacry del mes pasado, que atrajo la atención de los medios de comunicación mundiales, llega el último brote de ransomware que se está extendiendo rápidamente por Europa y otros continentes. ¿El culpable? Una nueva variante de la familia de ransomware Petya, también conocida como Petna en círculos de seguridad de TI. Para el resto del artículo nos referiremos al rescate simplemente como Petya.

A principios de esta mañana, el ransomware golpeó especialmente a Ucrania, afectando a las sucursales gubernamentales, el aeropuerto de Kiew, el sistema de metro, el proveedor de energía estatal Ukrenergo, el banco central e incluso la extinta central nuclear de Chernobyl.

Otras infecciones han sido confirmadas por empresas de otras partes de Europa, como la agencia de publicidad británica WPP, la constructora francesa Saint-Gobain, la petrolera rusa Rosneft y el gigante naviero danés AP Moller-Maersk. Hasta ahora, la infección por el ransomware ha sido confirmada en más de 14 países incluyendo Estados Unidos, México, Irán y Brasil; Pero esperamos que muchos más países se vean afectados.

Quizás lo más sorprendente es el hecho de que esta última variante de ransomware de Petya usa las mismas hazañas de NSA que permitieron a Wannacry infectar más de 200,000 computadoras en mayo de este año. A pesar de los parches de seguridad y el asesoramiento que siguió, parece que muchas empresas no prestaron atención a los consejos de los expertos en seguridad.

¿Este último ataque de ransomware será aún peor que Wannacry? ¿Y qué se puede hacer para proteger su computadora y sus redes?

Conoce a Petya Ransomware

De alguna manera, la última variante de Petya parece estar estrechamente relacionada con la familia de ransomware de Petya existente. Petya fue visto por primera vez a finales de marzo de 2016. Lo que hizo Petya único fue la implementación de su propio sistema operativo que instaló y arrancó en lugar de Windows, por lo que podría cifrar varias estructuras críticas del sistema de archivos en el disco de arranque durante el próximo reiniciar. La nueva variante Petya copió este método e incluso el código del sistema operativo Petya casi completamente, pero implementa sus propios métodos para difundir, cifrar archivos e infectar el sistema.

Tras la exitosa infección de un sistema, Petya presenta una pantalla de rescate, disponible en inglés solamente, pidiendo pagar $ 300 de bitcoins a una cartera conectada con una dirección posteo.net:

En el momento de escribir esto, 3.1 bitcons se han pagado a través de más de 28 transacciones, compensando al autor del ransomware cerca de US $ 7.300. Aunque esta cantidad es comparativamente pequeña, todavía es temprano y dada la rápida propagación, podemos ver más víctimas pagando para liberar sus archivos.

¿Cómo se infecta con el ransomware Petya?

La ola inicial de infecciones de Petya se remonta a un hack del popular proveedor de software de contabilidad ucraniano MeDoc. Los atacantes desconocidos obtuvieron acceso a los servidores de actualización del software y entregaron Petya ransomware como una actualización de software a los clientes de la compañía. Métodos similares han sido utilizados en el pasado por familias de ransomware como XData para comenzar la ola inicial de ataques.

Una vez que se infectaron varios sistemas, Petya pudo propagarse rápidamente desde allí a través de la misma hazaña NSA que fue filtrada por el grupo de Shadow Brokers que también fue utilizado por WannaCry. El exploit, conocido como ETERNALBLUE, explota una vulnerabilidad en el protocolo SMBv1 de Microsoft, permitiendo a un atacante tomar el control sobre los sistemas que:

• Tener el protocolo SMBv1 habilitado.

• Son accesibles desde Internet y

• No han sido parchados por la corrección MS17-010 lanzado en marzo de 2017

Si el exploit ETERNALBLUE tiene éxito, instalará una puerta trasera en el sistema, cuyo nombre en código es DOUBLEPULSAR. DOUBLEPULSAR es utilizado por el malware para enviarse al sistema explotado y luego ejecutarse a sí mismo.

Además, Petya también utiliza varias características administrativas integradas en Windows para propagarse dentro de una red comprometida. Esto significa que una única máquina sin revisión puede ser suficiente para infectar toda una red, incluso si las otras máquinas están completamente parcheadas. Petya utiliza Windows Management Instrumentation (WMI) y la popular herramienta PsExec en combinación con los recursos compartidos administrativos de red para facilitar la difusión lateral del ransomware dentro de la red local.

¿Cómo Petya ransomware encripta sus archivos?

Petya consta de dos módulos de ransomware diferentes. El primer módulo es muy similar a las familias clásicas de ransomware. Encripta hasta los primeros 1 MB de archivos con una de las siguientes extensiones:

.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

Para cifrar los archivos, utiliza el algoritmo AES con una clave de 128 bits. Esa clave se cifra con una clave pública RSA incrustada en el ejecutable de ransomware. Más detalles sobre cómo Ransomware utiliza RSA y AES para encriptar archivos de forma segura, puede encontrarse en nuestro artículo sobre el cifrado.

El segundo módulo fue arrancado directamente de la familia de ransomware Petya. Consiste en un pequeño sistema operativo personalizado que se instala en el Registro de arranque maestro (MBR) del sistema, siempre y cuando el sistema pueda arrancar a través de MBR y el ransomware logre obtener los derechos necesarios. Una vez que el sistema operativo Petya arranque, localizará y cifrará la tabla de archivos maestros de la unidad de arranque utilizando el cifrado de flujo Salsa20

La tabla de archivos maestros es una estructura de datos interna del sistema de archivos NTFS de Windows. Esencialmente hace un seguimiento de dónde exactamente en el disco de los datos se encuentra para cada archivo. Además, el OS de ransomware de Petya cifrará también los primeros sectores de cada archivo, para evitar que cualquier herramienta de recuperación de archivos funcione correctamente. Sin la tabla de archivos maestros, Windows no puede hacer sentido de los datos en el disco, esencialmente bloquear al usuario fuera de su sistema completamente.

¿Cómo protegerse de Petya ransomware?

Nuestro consejo dado durante el ataque WannaCry sigue siendo cierto en el caso de Petya: Como medida inmediata, asegúrese de tener las últimas actualizaciones de seguridad instaladas en sus equipos y servidores Windows. Tras el brote de ransomware anterior, Microsoft había tomado el paso inusual para liberar parches de seguridad para "sistemas no soportados" como Windows XP y Windows Server 2003, por lo que incluso los sistemas pueden ser parcheados.

Como se explica en nuestro artículo de ransomware, la mejor protección sigue siendo una estrategia de copia de seguridad confiable y probada, especialmente porque el cifrado utilizado por el ransomware Petya es seguro. La única manera de obtener los datos de vuelta es a través de la ayuda del autor ransomware o mediante la restauración de copias de seguridad. Asegurarse de instalar las actualizaciones críticas de Windows también es un paso muy importante en la protección de un sistema, ya que el principal vector de infección de Petya hasta ahora es el exploit de ETERNALBLUE SMBv1 actualmente, que ha sido parcheado desde hace varios meses.

Aparte de las copias de seguridad regulares, estarás encantado de saber que el módulo Anti-Ransomware de Emsisoft, parte de nuestra tecnología Behaviour Blocker y usado por Emsisoft Anti-Malware y Emsisoft Internet Security, ha demostrado ser la mejor defensa siguiente, ya que captura el ransomware Intentar infectar el sistema mediante el uso de la puerta trasera DOUBLEPULSAR antes de que pueda ejecutar y, por tanto, una vez más mantiene a nuestros usuarios protegidos de este y cientos de otras familias de ransomware sin la necesidad de firmas.

Consideramos que el ransomware es una de las mayores amenazas del año pasado y planeamos hacer nuestro mejor esfuerzo para continuar nuestro excelente historial en el próximo año, para mantener a nuestros usuarios tan protegidos como sea posible.

#Petya #Ransomware