Llegamos a ustedes gracias a:



Alertas de Seguridad

Petya: El nuevo ransomware

Que amenaza la seguridad de las empresas

[28/06/2017] Luego del enorme ataque de WannaCry que se produjo en mayo pasado, las empresas en todo el mundo pudieron darse cuenta de lo peligroso que es un ransomware. Y no era para menos. Este tipo de malware ataca al dejar a la organización sin acceso a lo más valioso que posee: Sus datos.

En estos momentos, las empresas apenas se están recuperando de este golpe, y ya tienen que enfrentar una nueva amenaza. Ahora el malware se llama Petya y, al parecer, representa un peligro aún mayor que el pasado WannaCry. Las firmas dedicadas a la seguridad informática ya han lanzado sus advertencias y nos señalan los puntos que hasta ahora se conocen de este nuevo malware.

Aún más peligroso

¿Es en verdad más peligroso que su antecesor? De acuerdo a la compañía ESET, ambos malwares tienen el mismo impacto: impiden el acceso a la información almacenada en el sistema. Sin embargo, este nuevo ataque no solo cifra la información que se encuentra en los equipos, sino que, luego de que se reinicia el sistema, deja inutilizable al sistema operativo, por lo que las víctimas se ven obligadas a realizar una reinstalación.

Y ¿cómo es que se está propagando? Aunque aún no se tiene una certeza del vector inicial de infección, de acuerdo a Palo Alto Networks, Petya muy probablemente intenta propagarse a otros hosts utilizando el protocolo SMB mediante la explotación de la vulnerabilidad ETERNALBLUE (CVE-2017-0144) en sistemas Microsoft Windows.

Esta vulnerabilidad fue divulgada públicamente por el grupo "Shadow Brokers en abril del 2017 y enfrentada por Microsoft en marzo del 2017 con la actualización de seguridad MS17-010. Una vez que una infección ha ocurrido con éxito, el malware cifra los sistemas de los usuarios, y solicita un pago de 300 dólares para devolver el acceso.

Hay un par de aspectos realmente interesantes sobre este ataque, según Fortinet. El primero es que, a pesar de la divulgación de las vulnerabilidades y parches de Microsoft, y la naturaleza mundial del ataque de WannaCry, aparentemente hay miles de organizaciones, incluyendo aquellas que manejan infraestructura crítica, que no han parchado sus dispositivos. Esto también puede ser simplemente una prueba para entregar futuros ataques dirigidos a vulnerabilidades recientemente relevadas.

En segundo lugar, WannaCry no tuvo mucho éxito desde una perspectiva financiera ya que generó pocos ingresos para sus desarrolladores. Esto se debió, en parte, porque los investigadores fueron capaces de encontrar un interruptor que desactivó el ataque. La carga útil de Petya, sin embargo, es mucho más sofisticada, aunque queda por ver si tendrá más éxito económico que su predecesor.

Finalmente, de acuerdo con los investigadores de FireEye, todavía está bajo escrutinio si esta amenaza es nueva o una extensión de las conocidas, ya que las campañas de ransomware son de ocurrencia regular en este tiempo. El análisis inicial de los artefactos y el tráfico en la red de las víctimas indican que se usó, al menos en parte, una versión modificada de la vulnerabilidad EternalBlue SMB para propagarla a otros sistemas junto con los comandos WMI, MimiKatz y PsExec.

Una característica común de los análisis de las diferentes compañías de seguridad informática es que ellas ya cuentan con alguna solución para evitar este tipo de ataques. Pero quizás lo más destacable es que, nuevamente, se están explotando vulnerabilidades ya conocidas que aún no terminan de resolverse, es decir, de anularse por completo. Aún hay trabajo por hacer.