NotPetya o Expetr, la infección sigue; más cruel que WannaCry

Nuevamente el mundo fue testigo de un gran ciberataque de ransomware que afectó millones de equipos, y cuyos especialistas se dividieron sobre si era una variante del código malicioso Petya o era uno nuevo, por lo que le llamaron NotPetya, y más tarde Expetr.

Empresas como la mayor petrolera de Rusia, los bancos de ese país, el aeropuerto internacional de Ucrania, así como la firma global de envío de AP Moller-Maersk, fueron las primeras en reportar que fueron víctimas de este ransomware, luego de que se les solicitaran 300 dólares como pago del “secuestro” y de esta manera recibir un email con la “llave” para desencriptar sus datos.

La empresa de seguridad cibernética con sede en Moscú, Grupo IB, dijo que los hackers habían aprovechado el mismo código desarrollado por la Agencia de Seguridad Nacional de Estados Unidos (NSA) que se filtró y luego se uso en el ataque de ransomware WannaCry, el que causó la interrupción global en mayo pasado.

Andrés Velázquez, CEO de Mattica y experto en ciberseguridad, comentó en entrevista que por la tarde de ayer ya había reportes de casos en México, aunque como sucedió con WannaCry, otros afectados no se conocerán hasta después, pues muchos ocultan la información.

“Esto es peligroso, pues no sabemos los niveles de afectación, y como es que las empresas o gobiernos reaccionan ante ello. Lo que estamos recomendado es que ante el cifrado del ransomware, no paguen el rescate, ya que al estar bloqueada la dirección de email, nadie les contestará. Lamentablemente, las empresas o instituciones que fueron afectadas, ya perdieron sus datos”, explicó Velázquez, también por la mañana en entrevista con Pascal Beltrán del Río en Imagen Primera Emisión.

La firma de seguridad rusa, Kaspersky Lab, estimó que al mediodía ya había visto más de dos mil víctimas, y que seguía contando.

Al igual que WannaCry, este nuevo virus demanda que las víctimas paguen un rescate utilizando la moneda virtual Bitcoin, para enviar por mail una llave para desbloquear el candado del “secuestro” de datos. A partir del mediodía, 20 víctimas habían pagado un rescate, con el número constante escalada. Se dice que antes de que se cifrara la dirección que enviaban los hackers para cobrar el “rescate”, ya se habían pagado más de 10 mil dólares.

MÁS BRUTAL

A diferencia de WannaCry, este nuevo malware se propaga rápidamente y no meramente cifra archivos como parte de su esquema de rescate. “Por el contrario, cambia los archivos críticos del sistema para que la computadora no responda”, comentó John Miller, directivo de análisis en la empresa de seguridad FireEye.

Además, otros especialistas dijeron que es capaz de saltar usando múltiples defectos de Microsoft, no sólo en las que se expusieron al dar a conocer las supuestas armas cibernéticas de la NSA.

Microsoft explicó que su software de antivirus detecta y remueve este ransomware. “Nuestro análisis inicial encontró que utiliza diferentes técnicas para expandirse, incluyendo una que fue abordada por una actualización de seguridad previamente proporcionada para todas las plataformas de Windows XP a Windows 10. Como el ransomware también se propaga a través del correo electrónico, los clientes deben tener cuidado al abrir archivos desconocidos”.

Aunque aún no se conoce el impacto económico de Expetr, y tomando en cuenta que en el caso de Wannacry se lograron menos de 100 mil dólares de ingresos para los hackers, y en su momento se habló de unas pérdidas de unos cuatro mil millones de dólares, este ciberataque podría costar diez veces mas.

PASOS A SEGUIR PARA REDUCIR EL RIESGO DE INFECCIÓN EN OFICINAS Y EL HOGAR:

• Parchar y actualizar sus sistemas, o considerar una aplicación de parches virtuales.
• Permitir que los servidores de seguridad, así como los sistemas de detección y prevención de intrusiones, estén conectados a todos los equipos.
• Monitorear proactivamente y validar el tráfico que entra y sale de la red.
• Implementar mecanismos de seguridad para otros puntos de entrada que los atacantes pueden utilizar, tales como correo electrónico y sitios web.
• Implementar el control de aplicaciones para evitar que archivos sospechosos de ejecución se abran en cualquier equipo.
• Emplear sistemas de categorización de datos y segmentación de la red para reducir aún más la exposición y el daño a los datos.
• Desactivar SMB (v1) en las máquinas vulnerables, utilizando GPO o siguiendo las instrucciones proporcionadas por Microsoft.
• Asegúrese de que todos los parches más recientes se hayan aplicado a los sistemas operativos afectados.

POSIBLE ORIGEN

Expertos en temas de ciberseguridad aseguran que NotPetya pudo comenzar a disiparse en Ucrania. Una empresa de software de esta nación, poco conocida, ahora  enfrenta acusaciones de que es una de las principales fuentes de la explosión del ransomware.

“El proveedor de programas de contabilidad MeDoc fue vulnerado y NotPetya se propagó a través de actualizaciones, antes de proliferar más gracias a algunos trucos ordenados en el propio malware”, señalaron diversos analistas a través de blogs y sus redes sociales.

La firma MeDoc negó estas afirmaciones en un largo post de Facebook publicado ayer por la tarde. Señaló que la última actualización fue realizada desde su sitio web a partir del 22 de junio, pero el brote estalló apenas ayer.

“Al momento de actualizar el programa, el sistema no podía infectarse con el virus directamente desde el archivo de actualización”, reiteró MeDoc.

Sin embargo, el equipo de análisis de Kaspersky Lab, afirma tener registros que revelaron a MeDoc como la fuente. El científico en jefe de AlienVault, Jaime Blasco, señaló que tuvo acceso a una computadora infectada, que confirmó la conexión con MeDoc. La división Talos de Cisco, también dijo que era posible que MeDoc se utilizara como un vector inicial de infección.

La policía cibernética de Ucrania también twitteó que creía que MeDoc era la fuente del brote, advirtiendo que no se descargara más software de su sitio. Más tarde dijeron que los emails con phishing eran también una causa importante de infección, indicando que había varios métodos de propagación.