Cómo funciona Petya y por qué ha conseguido infectar a tantas compañías

Cómo funciona Petya y por qué ha conseguido infectar a tantas compañías

28 junio, 2017
|
Actualizado: 28 junio, 2017 12:24
|

Decenas de bancos e instituciones de todo el mundo han sido víctimas de un ciberataque ransomware este martes. 

El Banco Central de Ucrania y metro de Kiev, la compañía estatal de la energía o la red informática del Gobierno ucranio, entre otras muchas empresas han sido atacadas este martes por un ciberataque. El viceprimer ministro de Ucrania, Pavlo Rozenkoe, ha informado en las redes sociales de este ataque en elque  gigante petrolero estatal ruso Rosneft también ha sido víctima, según han anunciado las autoridades y ha confirmado un portavoz de la compañía al diario Financial Times. No obstante, la empresa asegura que su producción petrolífera no se ha visto afectada por el ataque.

El equipo de Respuesta de Incidentes de Check Point ha detectado numerosos ataques de una nueva variante del malware Petya, que se está expandiendo lateralmente dentro de redes corporativas. Todo parece indicar que está utilizando el exploit SMBv1 ‘EternalBlue’, al igual que anteriormente hizo WannaCry.

En un primer momento, fue detectado atacando a entidades financieras ucranianas, y se ha extendido de forma masiva, sobre todo por Europa.

El responsable del Equipo de Inteligencia de Amenazas de Check Point, explica que “Parece que se trata de una nueva versión del ransomware Petya, visto por primera vez en marzo de 2016, y que se está expandiendo muy rápidamente por todo el mundo a través de las redes empresariales de la misma manera que hizo «WannaCry» el mes pasado”. “A diferencia de otros ransomware, Petya no cifra los archivos en las empresas infectadas uno por uno, sino que bloquea todo el disco duro. Para protegerse, las agencias deben aplicar la última actualización de seguridad de Microsoft inmediatamente y deshabilitar el protocolo de intercambio de archivos SMBv1 en sus sistemas de Windows”.

“Las organizaciones también tienen que ser capaces de evitar que se produzcan infecciones mediante el escaneado, bloqueo y filtrado de archivos sospechosos de contenido antes de que entren en sus redes. Además, deben educar a sus empleados sobre los riesgos potenciales de los mensajes de correo electrónico de personas desconocidas, o de emails sospechosos que parecen enviados por contactos conocidos.”

Contexto

  • Este ataque masivo se inició en Ucrania, donde ha causado daños enormes a sus infraestructuras críticas
  • Se ha extendido a través de Europa primero, y después ha alcanzado a América del Norte, América del Sur, Oriente Medio y Asia
  • Las consecuencias de una expansión tan rápida puede tener un efecto negativo en la vida diaria de los ciudadanos, paralizando a los servicios de inteligencia de los países afectados y modificando nuestra rutina diaria
  • Aún no se conoce si hay ninguna conexión entre los dos componentes de esta campaña: Ransomware y robo de credenciales. En estos momentos, estos ataques tienen el potencial para crear un gran daño, y ya lo han causado en las infraestructuras críticas de los Estados Unidos y otros países

Detalles del ataque

  • Se expande a través de un archivo RTF infectado, que instala las credenciales de la aplicación en el equipo infectado
  • El método de infección de Petya no está claro todavía, pero tiene la capacidad de expandirse a través de los equipos cercanos al infectado, de forma similar a lo que vimos en la campaña de WannaCry, que usaba el mismo protocolo. Se mueve lateralmente dentro de las redes corporativas
  • De momento, solo hay unos 10.000 dólares en la cuenta de BitCoins asociada al ciberataque
  • Las nuevas variables de malware se pueden crear y distribuir de forma global.
  • Las empresas todavía no están preparadas para evitar que estos tipos de ataque penetren en sus redes

Las organizaciones deben centrarse en la prevención. En estos tipos de ataques, la detección de amenazas llega tarde, cuando el daño ya se ha hecho. La Prevención Avanzada de Amenazas es esencial, y permite bloquear los contenidos sospechosos antes de que entren en la red

Puntos clave

El ataque podría haberse evitado, y los que veremos en el futuro podrán evitarse también. Más del 93% de las empresas no disponen de la tecnología necesaria para protegerse contra este tipo de ataque. No es casualidad que estos ataques de expandan de forma tan rápida

Las empresas, gobiernos y las organizaciones deben dar un paso adelante. Es necesario invertir en el futuro de la ciberseguridad y hay implementar tecnologías modernas de seguridad para acabar con estos ataques. La ciberseguridad no es como un seguro, sino que constituye una protección contra algo que sabemos que va a ocurrir

Hay demasiadas tecnologías no compenetradas entre ellas que se dedican a detectar un ataque después de que el daño está hecho. Se necesitan arquitecturas unificadas que se centren en prevenir los ataques antes de que lleguen a las redes corporativas

Noticias Relacionadas: