petya

Este martes, varios países de la Unión Europea —entre ellos, España—, además de EE.UU., Ucrania y Rusia, se convirtieron en blancos de un ataque cibernético con un potente ‘ransomware’ llamado Petya. Al analizar lo sucedido, varios expertos en seguridad informática afirman ahora que este virus utilizó una herramienta de la Agencia de Seguridad Nacional de EE.UU. (NSA, por sus siglas en inglés).

Se trata concretamente de EternalBlue, una herramienta para ‘hackeos’ usada por la agencia estadounidense. Este programa aprovecha una vulnerabilidad del protocolo Server Message Block de Windows para lograr acceder al sistema. El vínculo entre la herramienta y el nuevo ‘ransomware’ fue confirmado por el exempleado de la CIA y de la NSA Edward Snowden y por las empresas Kaspersky Lab y Symantec, proveedoras de servicios de seguridad informática.

El periódico ‘The Washington Post’ recoge las declaraciones de varios miembros de la NSA que defienden el uso del EternalBlue para obtener datos de Inteligencia. Un exempleado asegura que el volumen de información recibida a través de esta herramienta recuerda a una “pesca con dinamita”.

Después de que la NSA aprovechara esa vulnerabilidad de Windows sin informar de ella a Microsoft, el ataque con Petya ha impedido el funcionamiento correcto de lugares como bancos, aeropuertos o centros médicos.

“¿Cuántas veces más tiene que causar daños a las infraestructuras civiles el desarrollo de armas digitales de la NSA antes de que se asuma alguna responsabilidad?”, se preguntaba este martes Snowden en Twitter. “Cuando el foco de la NSA en el ataque en vez de en la defensa provoca apagones en hospitales estadounidenses, es hora de actuar”, insistió en otro tuit.

Con diversas modificaciones, el virus Petya se conoce desde 2016. A diferencia de otros ‘ransomware’, Petya no encripta los archivos por separado, sino todo el disco duro, con lo cual impide el arranque del ordenador hasta que sea desactivado. Este virus ‘extorsionador’ encripta así las computadoras y pide dinero para desbloquearlas. El ataque de este martes solicita 300 dólares en bitcoines para recuperar el acceso al dispositivo y a los archivos.

Si hace poco más de un mes fue WannaCry, hoy ha sido Petya (diminutivo de Pedro, en ruso) quien ha puesto en jaque a empresas de todo el mundo. Muchos expertos habían comentado que el ciberataque del pasado 12 de mayo no era sino el comienzo de una tendencia. Esta vez, un nuevo ransomware que ha ‘nacido’ en Ucrania se ha extendido por empresas de todo el mundo.

Por el momento no se saben todas las consecuencias que tendrá el virus, que afecta a equipos Windows, pero en el país de origen han sido infectadas instituciones como el Banco Central o el metro de Kiev, e incluso se habla de la afectación de bancos y aeropuertos.

¿Por qué Petya es diferente de los demás?

Con diversas modificaciones, el virus Petya se conoce desde 2016. A diferencia de otros ‘ransomwares’, Petya no encripta los archivos por separado, sino todo el disco duro, con lo cual impide el arranque del ordenador hasta que se desactive.

¿Cómo se propaga?

El contagio se suele producir a través de correos electrónicos aparentemente lícitos, pero que incluyen un enlace malicioso. Por ejemplo, la primera versión de Petya ‘se disfrazaba’ de currículos y atacaba a empresas de recursos humanos.

En concreto, se escondía en el correo de un presunto candidato, que incluía un enlace para descargar su CV desde el servicio de alojamiento Dropbox pero, en realidad, era un archivo ejecutable de extracción automática.

¿Cómo funciona?

Al abrir el enlace, el troyano se ejecuta y aparece una alerta de Windows. Si la víctima prosigue, el virus reescribe el sector de arranque del ordenador y la pantalla queda en azul con un mensaje de error que indica que hay que reiniciar el equipo.

Algunos expertos apuntaban que en esa etapa el disco duro aún no está encriptado y se pueden recuperar los datos apagando el ordenador y conectando su disco duro a otro equipo.

El nuevo virus-extorsionador Petya afecta a la central nuclear cerrada de Chernóbil

Cuando el equipo se reinicia, se ejecuta un programa que imita el comando para la comprobación del disco CHKDSK aunque, en realidad, lo encripta. Después, aparece una ventana de alerta que informa al usuario de que el equipo ha sido secuestrado y solicita el rescate.

Según destaca el portal Meduza, desde comienzos del año pasado Petya ha mutado varias veces y, a juzgar por la magnitud de esta última ofensiva, su nueva variante ha sido mejorada y posee un sistema de distribución más complejo.

¿Cómo protegerse?

El Centro Criptológico Nacional (CCN-CERT) de España, adscrito al Centro Nacional de Inteligencia (CNI), desaconseja que los usuarios afectados paguen el rescate de su equipo, ya que ese paso “no garantiza que los atacantes” envíen la “contraseña de descifrado”, “solo premia su campaña y les motiva” para “seguir distribuyendo masivamente este tipo de código dañino”. Además, ofrece una serie de recomendaciones:

  • Actualizar el sistema operativo y todas las soluciones de seguridad, así como tener el cortafuegos personal habilitado.
  • Los accesos administrativos desde fuera de la organización solo deben llevarse a cabo mediante protocolos seguros.
  • Mantener una conducta de navegación segura, con herramientas y extensiones de navegador web completamente actualizadas.
  • Activar la visualización de las extensiones de los ficheros para evitar ejecución de código dañino camuflado, como archivos legítimos no ejecutables.
  • Deshabilitar las macros en los documentos de Microsoft Office y otras aplicaciones similares.

Investigadores encontraron que la versión actual de Petya cifra los archivos luego del reboot de la computadora. Si el sistema recién se infectó con Petya, se puede apagar y no volver a encender el equipo. Si la máquina se enciende se inicia el proceso de cifrado.

‏HackerFantastic dice que se puede utilizar un LiveCD para recuperar los archivos. Por su parte, PT Security, y Amit Serper descubrieron un “Kill-Switch” para Petya. De acuerdo a ellos, se puede crear un archivo “C:\Windows\perfc” para prevenir la infección.

No pague el rescate, NO conseguirá sus archivos

A los usuarios infectados se les aconseja que no paguen el rescate. Los delincuentes detrás de Petya no pueden recibir los correos electrónicos porque el proveedor alemán suspendió la dirección “wowsmith123456 @ posteo.net”, que era utilizada por los criminales para comunicarse con las víctimas.

Desbloquear los archivos afectados de forma gratuita

El investigador Lawrence Abrams de Bleeping Computer descubrió una debilidad en el diseño del malware y con una herramienta generadora de claves desarrollada por Leostone se podría desbloquear una PC con cifrado Petya en sólo 7 segundos.

Para poder utilizar la herramienta, las víctimas deben eliminar la unidad de inicio (MBR) del sistema afectado por Petya y conectar el disco a otro equipo con Windows (que no esté infectado).

Entonces se pueden extraer datos del disco rígido, específicamente:

  • Los 512 bytes codificados en base 64 que comienzan en el sector 55 (0x37h) con un desplazamiento de 0.
  • El nonce de 8 bytes codificado de 64 bits del sector 54 (0x36) desplazado 33 (0x21).

Estos datos deben ser utilizados en esta aplicación (mirror) creada por Leostone para generar la clave. La víctima recuperará entonces la clave Petya y podrá usarla para descifrar sus archivos.

Dado que la herramienta de Leostone no es un método directo, Fabian Wosar, un investigador independiente, ha creado una herramienta gratuita llamada Petya Sector Extractor, que puede usarse para extraer fácilmente los datos en segundos. Las víctimas deben ejecutar la herramienta en un equipo Windows no infectado con el disco infectado conectado. Abrams proporcionó este tutorial de todo el proceso.

Anuncios