TIPS TECNOLÓGICOS, DE CONFIGURACIÓN Y NEGOCIO QUE COMPLEMENTAN TU SEGURIDAD

LA NUEVA VARIANTE DE PETYA (NOTPETYA) ES UNA CIBER ARMA NO UN RANSOMWARE

Escrito por Miguel Torres on 29/06/17 13:21

Petya ciberarma-ransomware.pngA dos días de la detección de esta amenaza la información disponible es muy interesante y reveladora.

 ¿CIBERGUERRA?

El pasado martes, los sistemas informáticos de infraestructura crítica de la nación y corporaciones en Ucrania y otros 64 países fueron golpeados por un ataque cibernético global, similar al brote de WannaCry que paralizó decenas de miles de sistemas en todo el mundo.

Inicialmente, una nueva variante del ransomware Petya bautizado como "NotPetya" fue culpado pero más tarde, la historia tomó un giro interesante.

Dos recientes informes procedentes de Comae Technologies y Kaspersky Lab confirman que efectivamente es una nueva variante de Petya pero no actua como ransomware, sino como un destructor de información similar a Shamoon el cuál afectó principalmente a Arabia Saudita en el pasado reciente.

Tengamos en cuenta que Shamoon tenía como finalidad prinicipal el borrado de archivos, esta amenaza actua de una manera ligeramente diferente, no elimina ningún archivo los inutiliza cifrándolos y tirando la llave, el resultado es el mismo.

NotPetya también utiliza los exploits de Windows filtrados de la NSA: EternalBlue y EternalRomance para expandirse rápidamente dentro de la red, y las herramientas WMIC y PSEXEC para ejecutar remotamente el malware en las máquinas.

El hecho de que Ucrania fuera el primer atacado genera múltiples conjeturas. Los expertos incluso creen que el verdadero ataque ha sido disfrazado para desviar la atención del mundo de un ataque patrocinado por el estado a un brote de malware parecido a WannaCry.

Catalin Cimpanu, editor de Noticias de Seguridad de Bleepingcomputer declaró: "El consenso sobre NotPetya ha cambiado dramáticamente en las últimas 24 horas, y nadie se equivocaría al decir que NotPetya está al mismo nivel que Stuxnet y BlackEnergy, dos familias de malware usadas para propósitos políticos por sus efectos destructivos. Es evidente que NotPetya es una ciber-arma y no sólo un ransomware demasiado agresivo ".

EL AUTOR DEL ORIGINAL RANSOMWARE PETYA OFRECE AYUDA

"Janus" es como se autonombra el autor original de Petya haciendo referencia a un villano de James Bond, el cúal apareció hoy en Twitter ofreciendo ayuda para descifrar archivos inutilizados por la variante de su creación.

"Volvimos para echar un vistazo a NotPetya", mencionó en twitterJanus. "Tal vez es crackable con nuestro privkey. Por favor, suban el primer 1MB de un dispositivo infectado, esto podría ayudar."

Esta afirmación hecha por el autor de Petya sugiere que es probable que posea una llave maestra para descifrar, la cuál si funciona con esta nueva variante cabe la posibilidad de que los afectados puedan recuperar su información.

Janus vendió Petya como un Ransomware as a Service (RaaS) a otros hackers en marzo de 2016, y como cualquier ransomware regular,  fue diseñado para cifrar archvos en la computadora de la víctima, y luego devolverlos cuando se paga un rescate.

Esto significa que cualquier persona podría lanzar el ataque del ransomware de Petya con apenas el tecleo de un botón, cifrar el sistema de cualquier persona y exigir un rescate para desbloquearlo. Si la víctima paga, Janus recibe una parte del pago. Pero en diciembre, no se supo más de él.

Ya que Janus está examinando el nuevo código e incluso si su llave maestra logra descifrar el Master File Table (MFT) del disco duro de los afectados, no será de mucha ayuda hasta que los investigadores encuentren una forma de reparar el Master Boot Record (MBR) que es borrado por NotPetya sin guardar ninguna copia.

EL IMPACTO

Se cree que lo sucedido el martes es de mayor impacto que WannaCry, causando desastres en muchas infraestructuras críticas, incluyendo el bloqueo de computadoras en una compañía eléctrica ucraniana, varios bancos en Ucrania y el aeropuerto internacional Boryspil de Kiev.

NotPetya también canceló las cirugías en dos hospitales de la zona de Pittsburgh, cifró equipos en la compañía farmacéutica Merck, el bufete de abogados DLA Piper. Infectó computadoras en la compañía naviera holandesa AP Moller-Maersk obligando a cerrar algunas terminales de contenedores en puertos marítimos de Los Ángeles a Mumbai.

Si tienes algún comentario o requerimiento adicional puedes contactarme en mi dirección de correo electrónico: mtorres@smartekh.com  

*KnowBe4/The Hacker News/2017

Topics: cibercrimen, Daño por Ransomware, Seguridad, Seguridad Informática, Ciberseguridad, ciberguerra, panorama de amenazas, mejores practicas seguridad informatica, controles de seguridad informática, mitigacion de riesgos, amenazas dia cero, zero day threats, dia cero, NSA Wannacry, notpetya, petya ciberataque, EternalBlue, EternalRomance, Stuxnet, petya, petya ransomware, cyberwarfare, ciberataque Ucrania, BlackEnergy


Deja un comentario

No te pierdas lo mejor en Seguridad ¡Suscríbete al blog!

Lists by Topic

see all

Lo que se dice en Smartekh

ver lo mejor en Seguridad
Agenda-aqui-tu-asesoria-con-un-consultor-experto.jpg
Tienes-problemas-de-soporte-levanta-tu-caso-aqui.jpg
Fortalece-a-tu-equipo-con-el-Diplomado.jpg
EBOOK-Guia-de-senales-de-prevencion-para-evitar-ataques-por-ransomware-con-tu-solucion-de-ciberseguridad.jpg

Aprende a minimizar la superficie de ataque por Ransomware WannaCry