Petya (NotPetya)

Petya es una familia de malware que encripta y que infecta ordenadores con sistemas operativos Microsoft Windows. Petya infecta el registro de arranque principal para ejecutar una carga útil que cifra los datos en los sistemas infectados de un disco duro. Los datos se desbloquean solo después de que la víctima aporta la clave de cifrado, típicamente después de pagar al atacante un rescate.

A pesar de que se descubrió en 2016, el Petya comenzó a aparecer en los titulares cuando una variante de éste se empleó en un ciberataque masivo contra objetivos en Ucrania. Se propagó rápidamente a nivel mundial, incapacitando empresas y causando más de 10 mil millones de USD en daños.^[1]

La nueva variante, también conocida como NotPetya (a causa de sus importantes diferencias con el original), se propagó usando un “exploit” llamado EternalBlue. El exploit fue desarrollado por, y después robado a, la Agencia de Seguridad Nacional (NSA) de los Estados Unidos. Una vez dentro de un sistema comprometido, EternalBlue se aprovecha de un fallo en los protocolos de red de Windows para diseminarse sigilosamente por las redes. A diferencia de la mayoría del malware, NotPetya infectó a los nuevos sistemas sin que el usuario hiciese nada. Este comportamiento hizo que NotPetya actuase más como un “ransomworm” que como un virus tradicional.

NotPetya tenía unos objetivos concretos, pero rápidamente se convirtió en una amenaza global. Y a pesar de exhibir las señales comunes de un ataque de ransomware, como la exigencia de pago de un rescate, no estaba diseñado originalmente para recaudar dinero. Estas características llevaron a los investigadores a concluir que el virus era un ataque destructivo patrocinado por un estado, y no un simple acto delictivo cibernético.

Según la policía ucraniana, el ataque de NotPetya comenzó por subvertir la función de actualización del software de contabilidad del gobierno ucraniano. Una segunda ola de ataques se propagó a través de correos electrónicos de phishing repletos de malware.^[2]

Si bien aprovechaba el mismo fallo que un ransomware anterior, llamado WannaCry, tenía más opciones para propagarse. Esto hacía a NotPetya mucho más resistente a las defensas cibernéticas. A la vez, no estaba diseñado para diseminarse más allá del entorno inicialmente infectado. Esto limitaba su propagación y resulta consistente con la teoría de que NotPetya era un ataque muy específico y no un simple esquema de latrocinio digital.

Una vez infectado el sistema, el Petya espera alrededor de una hora antes de reiniciar el equipo. Después muestra un mensaje que dice “Reparando archivo de sistema en C:” y advierte a los usuarios que no apaguen el equipo. Mientras los usuarios esperan, lo que el Petya está haciendo es encriptar sus archivos. Por último, el sistema se reinicia, mostrando ahora la exigencia del rescate.

El rescate de NotPetya, sin embargo, es casi imposible de pagar. El correo electrónico de contacto de los atacantes se codificó de manera irrevocable a una dirección de correo electrónico web que fue desactivada rápidamente. Así, prácticamente no hay manera de que las víctimas puedan enviar dinero u obtener la clave de descifrado.

Al igual que la mayoría del ransomware, el Petya es difícil de eliminar después de haber infectado un sistema. En la mayoría de los casos, la víctima tiene que decidir si paga el rescate (con la esperanza de recibir la clave de cifrado) o si borra todos los datos y los restaura a partir del backup o copia de seguridad. Sin embargo, el mejor enfoque es evitar completamente el ransomware. A continuación, le mostramos que es lo que hay que hacer antes, durante y después del ataque.

Antes del ataque

La mejor estrategia de seguridad contra el ransomware es evitarlo completamente. Esto precisa de planificación y trabajo, antes de que ocurra la crisis.

• Copiar y restaurar
  La parte más importante en cualquier estrategia de seguridad para ransomware es hacer backups de datos de manera periódica y consistente. Es sorprendente la poca cantidad de organizaciones que realizan simulacros de copia y restauración de datos. Ambas partes son importantes: los simulacros de restauración son la única manera de saber si su plan de backup realmente funciona.
• Actualizar y parchear
  Mantenga los sistemas operativos, el software de seguridad y los parches actualizados para todos los dispositivos.
• Capacitar a los usuarios
  La formación y concienciación en materia de ciberseguridad de los empleados es fundamental. Su personal debe saber lo que hay que hacer, lo que no hay que hacer, cómo evitar el ransomware y cómo reportarlo. Si un empleado recibe una demanda de ransomware Petya, deben ser conscientes de que hay que reportarlo de inmediato al departamento de seguridad informática, y de que nunca jamás deben intentar pagar ellos mismos.
• Invertir en sólidas soluciones de seguridad centradas en las personas
  Incluso la mejor formación para los usuarios no es capaz por sí misma de detener todo el ransomware. Las soluciones de seguridad avanzadas le protegen contra elementos malintencionados, como archivos adjuntos, documentos y URL dentro de correos electrónicos con ransomware.

Durante el ataque

Contener el daño y regresar al trabajo

Si bien la mejor estrategia contra el ransomware es evitarlo, estos consejos no servirán de nada si acaba de infectarse.

Al ser infectado, tiene problemas que resolver a corto plazo, como (por ejemplo) hacer que los ordenadores, teléfonos y redes vuelvan a estar disponibles, y lidiar con las demandas de rescates.

• Apague el ordenador y desconéctelo de la red
  Petya espera durante una hora después de infectar un sistema antes de reiniciarlo y mostrar un mensaje de que el sistema de archivos está siendo “reparado”. Los expertos indican que, si el equipo se apaga de inmediato, es posible salvar algunos archivos.^[2]
  
  En el momento mismo en que los empleados vean la demanda de ransomware o noten que algo no cuadra, deben desconectarse de la red y llevar al equipo infectado al departamento de TI.
  
  Solo el departamento de seguridad informática debería intentar un reinicio, y hasta eso funcionará solamente en caso de que sea scareware falso, o malware común y corriente.
• Notificar a las autoridades
  El uso de ransomware es delito, porque implica perpetrar robo y extorsión. Notificar a las autoridades adecuadas es un primer paso muy necesario.
• Determine el alcance del problema basándose en la inteligencia de amenazas
  Su respuesta, incluyendo la decisión de pagar o no el rescate, depende de varios factores:
  • El tipo de ataque.
  • Cuál de los miembros de su red está comprometido.
  • Qué permisos de red tienen las cuentas comprometidas.
• Orquestar una respuesta
  Una gran parte de su respuesta es el decidir si pagar el rescate o no. La respuesta es complicada y podría obligarle a consultar a las autoridades y a su asesor legal. En algunos casos, el pago podría ser ineludible.
• No fiarse de las herramientas gratuitas de descifrado de ransomware
  La mayoría de las herramientas gratuitas funcionan solamente para una cepa específica, o incluso para una única campaña. A medida que los atacantes van actualizando sus ransomware, las herramientas gratuitas quedan obsoletas y seguramente no funcionarán.
• Restaurar desde un backup
  La única manera de recuperarse totalmente de una infección de ransomware es restaurar todo desde una copia de seguridad. Pero, incluso con los backups recientes, el pagar el rescate podría tener más sentido a nivel financiero y operativo.

Después del ataque

Revisar y reforzar

Le recomendamos realizar una evaluación integral de seguridad para hallar amenazas que puedan estar presentes en su entorno. Haga una evaluación crítica a sus herramientas y procedimientos de seguridad y en dónde fallan.

• Limpieza
  Algunos ransomware contienen otras amenazas o troyanos backdoor, que pueden llevar a ataques futuros. En otros casos, el entorno de la víctima ya está comprometido, abriendo una puerta al ransomware.
  
  Realice un análisis detallado para identificar amenazas ocultas que puede haber pasado por alto en medio del caos.
• Evaluación post mortem
  Evalúe su nivel de preparación ante amenazas, la cadena de eventos que llevaron a la infección y su respuesta. Sin determinar cómo fue que ocurrió el ataque de ransomware, no tendrá manera de detener al siguiente ataque.
• Evaluación de conciencia de los usuarios
  Un empleado bien informado es su última línea de defensa. Asegúrese de que sus empleados, personal o profesorado estén a la altura de las circunstancias.
• Formación
  Desarrolle un plan de formación para atender las vulnerabilidades de los empleados ante ciberataques. Cree un plan de comunicaciones contra la crisis en el caso de un futuro ataque y haga seguimiento con simulacros y pruebas de penetración.
• Refuerce sus defensas
  El rápidamente cambiante panorama de amenazas de hoy en día requiere de soluciones de seguridad capaces de analizar, identificar y bloquear, en tiempo real, a los archivos adjuntos y URL malintencionados que sirven como principales vehículos de ataque para el ransomware.
  
  Procúrese soluciones de seguridad capaces de adaptarse a amenazas nuevas y emergentes, y que le ayuden a responder más rápidamente.

[1] Andy Greenberg (Wired). “The Untold Story of NotPetya, the Most Devastating Cyberattack in History”
[2] Olivia Solon and Alex Hern (The Guardian). “‘Petya’ ransomware attack: what is it and how can it be stopped?”