El nuevo ransomware Petya: todo lo que se quiere saber

Cada vez que se produce un nuevo ciberataque de malware, surgen muchas dudas y cuestiones. Lo último ha sido la aparición del ransomware Petya que se ha propagado por la red con la intención de hacer el mayor daño posible a todos aquellos usuarios que no toman las medidas necesarias de seguridad a la hora de utilizar su equipo informático. Como pueden ser muchas las preguntas planteadas sobre el ransomware Petya, hoy os queremos aclarar algunas de las más importantes.

¿Qué ha sido este nuevo brote de ransomware de «Petya»?

El nuevo ransomware Petya: todo lo que se quiere saber 3
Feunte: blogspot

El 27 de junio de 2017, una nueva cepa de ransomware es reportada en numerosas empresas de diferentes países. A este malware se le ha conocido de diversas y confusas maneras como Petya, GoldenEye, WannaCry2, NotPetya, PetrWrap y PetyaWrap. Sophos detecta el archivo principal de este malware con el nombre Troj/Ransom-EOB, y para facilitar su nombre lo llamaremos coloquialmente PetyaWrap.

¿Por qué el nombre de PetyaWrap?

El corazón de este nuevo ransomware es casi idéntico a una cepa ransomware de 2016 conocida como Petya. Su principal diferencia respecto al resto de ransomwares es que Petya codifica el disco a nivel de sector, por lo que no permite un arranque normal en absoluto. Sin embargo, la variante PetyaWrap hace mucho más que el original ranswomware Petya. PetyaWrap incluye una serie de conceptos y componentes sacados de otras variedades de malware, incluyendo GoldenEye y WannaCry, envueltos en una nueva variante de ransomware que hace mucho más que la cepa original de Petya.

¿Qué técnicas de malware combina PetyaWrap?

PetyaWrap es un gusano informático, lo que significa que puede propagarse por sí mismo. Se puede replicar por la red y luego lanzar automáticamente nuevas copias sin que los usuarios lean correos electrónicos, abran archivos adjuntos o descarguen archivos a través de sus enlaces.

PetyaWrap cifra los archivos de tal manera que sólo los atacantes conocen la clave para descifrarlos, por lo que no se pueden recuperar los archivos sin su ayuda. Y si todo esto no fuera suficiente, después de difundir y codificar los datos, PetyaWrap hace lo mismo que el malware original de Petya; que codifica el disco a nivel de sector, por lo que no se puede acceder para nada a la unidad C:, ni siquiera si se conecta el disco a otro ordenador.

¿Cómo se transmite PetyaWrap a través de la red?

El nuevo ransomware Petya: todo lo que se quiere saber 4
Feunte: /fundacite-amazonas

En primer lugar, toma prestado de WannaCry el tratar de explotar un par de agujeros críticos de seguridad de Windows que fueron robados a la Agencia de Seguridad Nacional de Estados Unidos (NSA, por sus siglas en inglés) y filtrados por un egrupo de hacking llamado Shadow Brokers. (La principal vulnerabilidad utilizada escomúnmente conocida por su nombre original de la NSA:ETERNALBLUE).

En segundo lugar, trata de difundirse utilizando una popular herramienta de ejecución remota de Windows llamada PsExec. Este ransomware tiene una copia de este software incrustado dentro, por lo que no es necesario descargarlo primero.

PsExec es parte de la propia suite de Sysinternals de Microsoft, comúnmente mal utilizada por los ciberdelincuentes como una forma de moverse dentro de una red después de haber entrado desde el exterior. Debe tenerse en cuenta que el truco de PsExec no funcionará si el equipo infectado no tiene suficientes privilegios de cuenta para ejecutar comandos en el objetivo que se está atacando. Una buena razón para no usar cuentas de administrador todo el tiempo.

En tercer lugar, PetyaWrap curiosea en la memoria buscando contraseñas que aumenten sus privilegios de acceso y le permitan obtener acceso administrativo a otros equipos de la red. Esta búsqueda de contraseñas se realiza mediante una copia modificada de una herramienta de captura de contraseñas llamada LSADUMP del kit de herramientas Mimikatz; como con PsExec, esta herramienta de hacking está incrustada en el programa PetyaWrap, por lo que no es necesario descargarla antes.

¿Devolverán los datos si se paga el rescate que piden los cibercriminales?

Puede que esto sea complicado, ya que la cuenta de correo de contacto que indicaban los criminales, se ha suspendido. De esta forma, es poco probable que se pueda hacer trato con ellos.

¿Qué se puede hacer después?

El ransomware como PetyaWrap puede hacer mucho daño incluso si se limita a una cuenta de usuario normal, porque la mayoría de los usuarios tienen derecho a leer, escribir y modificar sus propios archivos. Pero además cualquier malware, especialmente un gusano de red como PetyaWrap, es mucho más peligroso ya que puede obtener privilegios de nivel de administrador.

Scroll al inicio