CSI CONSULTORES Apenas ha pasado un mes de que WannaCry hizo temblar al mundo, cuando ya estamos en la segunda ola de ciberataques a nivel mundial protagonizado por Petya; donde Microsoft estima más de 12,000 equipos infectados. De acuerdo a McAfee, el malware se ha extendido a través de los Estados Unidos, gran parte de Europa, Sudamérica y los grandes países de Asia.
Rusia y Ucrania concentran el mayor número de infecciones con una 30% y 60% respectivamente, de acuerdo a los análisis preliminares que ha compartido Kaspersky Lab.
Petya tuvo un alcance masivo ya que maneja mecanismos de auto-propagación similares a los observados con WannaCry. Petya, a diferencia de WannaCry, lo que hace es cifrar el MFT (Master File Table) del disco duro, dejando el MBR (Master Boot Record) inoperable, e impidiendo el acceso al sistema a través de cifrar información sobre los nombres de archivos, tamaños y localización de los mismos en el disco duro. Además, Petya reemplaza el MBR con su propio código malicioso con la nota del rescate.
“Si puedes leer este texto, tus archivos ya no están disponibles, ya que han sido encriptados. Quizá estás ocupado buscando la forma de recuperarlos, pero no pierdas el tiempo: nadie podrá hacerlo sin nuestro servicio de desencriptación”.
Petya tiene registros desde comienzos de 2016; sin embargo, el pasado 18 de Junio de 2017 se tiene registrado la compilación de esta nueva versión de ransomware. Este ransomware pide un pago de 300 dólares (en bitcoin), hasta el momento se han realizado 45 transacciones, de acuerdo al informe de blockchain.info. CSI (Consultores en Seguridad de la Información) advierte que no se realicen estos pagos, al día de hoy se han bloqueado las cuentas de correo de los cibercriminales; en caso, de que se llegue a realizar dicha transacción no hay forma de comunicarse con ellos.
Nicolas Weaver menciona: “Petya, fue un ataque deliberado, malicioso, destructivo o tal vez una prueba disfrazada de ransomware”
Por parte de Kaspersky Lab para America Latina, se confirma que el malware ya tiene registros en México; sin embargo, no ha dado más detalles por el momento sobre la ubicación de los mismos.
Pero, ¿Por qué nos seguimos infectando?, a pesar de que Microsoft ha liberado parches de seguridad para mitigar este riesgo, en muchas de las empresas no se han aplicado las actualizaciones correspondientes, por lo que se sigue generando el riesgo de infección; adicional, este malware se puede propagar por otros medios, en este caso engañando al usuario, la sensibilización de los usuarios aún no es la adecuada en temas de seguridad; el desconocimiento y la curiosidad por abrir un correo electrónico o dar clic en un link ayuda a que esos malware se propaguen de una manera exponencial.
Desde la perspectiva de CSI (Consultores en Seguridad de la Información)
Es vital mantener actualizados los Sistemas Operativos, tener al día nuestros sistemas con las últimas actualizaciones y parches de seguridad reducirán el riesgo de una posible infección. Para mitigar o prevenir estos ataques no sólo es necesario incorporar tecnologías específicas y contramedidas para la prevención, detección y respuesta, sino que además es indispensable diseñar políticas, procedimientos y mejores prácticas que ayuden a desplegar, mantener y gestionar dichas tecnologías (en este caso procesos definidos); así como concientizar al usuario, sensibilizar a la alta dirección y formar a administradores y/o personal técnico de la organización en temas de seguridad.
Referencias
