[ad_1]
Petya no es tanto una única instancia de ransomware como una familia de malware relacionado. Apareció por primera vez a comienzos de 2016, diseminado mediante archivos adjuntos maliciosos de correo electrónico. Cuando dichos archivos se descargaban y abrían, el malware caía sobre el equipo de la víctima.
Tras unos comienzos relativamente modestos, Petya explotó en el mundo de la ciberseguridad global con un ataque renovado en 2017. Esta nueva variante, denominada «NotPetya», golpeó diversas organizaciones en Ucrania, incluido el Banco Nacional, antes de extenderse por Europa y Estados Unidos. En total, el ataque de NotPetya de 2017 provocó más de US$ 10.000 millones en daños.
El ransomware Petya cifra la tabla maestra de archivos (MFT). Esta tabla es una guía de referencia rápida de todos y cada uno de los archivos que contiene un equipo. Sin acceso a la tabla, un equipo no puede encontrar ninguno de sus archivos, por lo que no es capaz siquiera de arrancar, y mucho menos funcionar con normalidad.
Cuando la víctima instala inadvertidamente Petya en un equipo Windows, el malware infecta el registro de arranque maestro (MBR). El MBR es la parte de la programación de un equipo responsable de cargar el sistema operativo cada vez que el equipo se enciende. Una vez dentro del MBR, Petya fuerza el reinicio del equipo y, a continuación, comienza a cifrar la MFT mientras muestra la nota de rescate.
«El ataque fue bien preparado por sus autores. NotPetya inicialmente se extendió a través del software de contabilidad M.E.Doc cuando los ciberdelincuentes piratearon su mecanismo de actualización para difundir NotPetya a los sistemas cuando se actualizó el software. Esta fue una amarga paradoja, ya que siempre se recomienda a los usuarios actualizar su software, pero en este caso particular, un actualizador troyanizado de este software inició la cadena de infección. Este tipo de ataque de la cadena de suministro no era común en ese momento, lo que causaba un retraso en averiguar la causa original del ataque. La velocidad a la que se propagó a través de las redes infectadas fue fascinante», explicó Jakub Kroustek, Líder de equipo del laboratorio de amenazas de Avast.
«Para su movimiento lateral, NotPetya empleó tres métodos de propagación diferentes: explotando EternalBlue (conocido de WannaCry), explotar EternalRomance y recursos compartidos a través de la red de Windows, utilizando las credenciales robadas de la víctima (esto se hizo con una herramienta tipo Mimikatz incluida, que extrae contraseñas) y herramientas legítimas como PsExec y WMIC», agregó el experto.
«Estas técnicas adicionales, que incluyeron la explotación de vulnerabilidades conocidas para las que los parches estuvieron disponibles durante mucho tiempo, probablemente fueron la razón por la que tuvo éxito, a pesar de que EternalBlue llamó la atención después del ataque WannaCry menos de dos meses antes del ataque NotPetya. Solo puedo esperar que las compañías aprendieron a actualizar sus sistemas operativos y aplicaciones tan pronto como una actualización esté disponible, a pesar de que NotPetya, desafortunadamente, se propagó a través de una actualización del producto«, aclaró.
«Es solo cuestión de tiempo antes de que haya otro brote de malware importante, cuándo y qué tan extendido será el ataque depende de múltiples factores, incluida la disponibilidad de un exploit de alta calidad como EternalBlue, el actor del malware, y su motivación», dijo el experto. «Microsoft realizó un buen trabajo al parchar EternalBlue, y la vulnerabilidad se encuentra ahora solo presente en viejos sistemas como Windows 7 y Windows XP. De las PCs que Avast escaneó en Mayo 23 a Junio 22 de 2020, solo 4% en todo el mundo funciona con EternalBlue, en Argentina es un 11.17%«, agregó Kroustek.
[ad_2]
Source link