Goldeneye, Petna, Pneytna y Petya son diferentes etiquetas para referirse una misma amenaza cibernética. Este poderoso y letal ransomware que se propagó a través de un mecanismo de actualización de software y posteriormente a través de una campaña de phishing con archivos adjuntos cargados de malware, regresa con nuevas y mejoradas funciones para destruir tus redes y sistemas.
¿Qué es el NotPetya?
Petya fue el nombre que se asignó anteriormente a un potente ataque cibernético de ransomware en Ucrania y Rusia en donde las compañías importantes de transporte, energía, salud y agencias del gobierno fueron afectadas. Sin embargo, este último malware que se ha presentado como una nueva versión de Petya es superficialmente similar, pero tiene características diferentes que permiten a los investigadores clasificarlo como una nueva forma de ransomware: NotPetya.
Actualmente se considera que Petya podría haber sido sólo una prueba inicial, dado que NotPetya es una versión más profesional que no tiene un killswitch evidente, está bien diseñado y tiene movimiento lateral automatizado. Por esa razón, su mecanismo de propagación que es mejor que WannaCry, lo hace aún más letal.
¿Cuál es el propósito del NotPetya?
A diferencia de otros ataques ransomware cuyo principal objetivo es solicitar dinero, este tiene algunas características interesantes que parecen ser un disfraz para su propósito real. Algunas prácticas poco profesionales en el método de pago han permitido la suspensión de la cuenta de correo electrónico donde se supone que se enviaría el dinero. Esto significa que incluso si la persona paga el rescate, será imposible comunicarse con el hacker para obtener la clave que desbloquea los archivos.
Los expertos en seguridad afirman que la versión potenciada de Petya no fue diseñada para ganar dinero. Para ellos es una especie de ransomware de rápida propagación que tiene como objetivo causar daños y destrucción a las organizaciones.
¿Cómo funciona el NotPetya?
NotPetya tiene dos sofisticadas técnicas de protección: una falsa firma de Microsoft y XOR cifrado shellcode carga útil, lo suficientemente bueno como para engañar a los antivirus y evadir la comprobación de firmas. Además, aborda tres vectores o vulnerabilidades diferentes para su proliferación:
- PsExec: Esta última versión de Petya abusa de esta herramienta para ejecutar código malicioso en otros equipos para propagar la infección.
- Recolección de contraseñas: Extrae contraseñas de la memoria o el sistema local de archivos y las traslada a otros sistemas.
- ETERNALBLUE : Incluso si Microsoft lanzó este parche para prevenir ataques como WannaCry, la negligencia de la mayoría de las organizaciones ha permitido a NotPetya infectar otros sistemas inyectando código malicioso en ellos.
Como un típico ransomware, esta versión remasterizada de Petya se propaga a través del correo electrónico, pero también persigue y alterna a través de todos los medios posibles para aprovechar cualquier oportunidad para causar la infección. Por lo tanto, es extremadamente importante ser cauteloso y evitar vulnerabilidades para prevenir otro brote.
¿Cómo proteger tu empresa del potente NotPetya?
Nuestro experto en Seguridad Digital, Ivan Montilla Miralles, comparte sus consejos para ayudarte a blindar todavía más tus redes contra NotPetya – Petya:
- Incorpora a tus redes herramientas o soluciones para la gestión de vulnerabilidades, y mantén al día sus parches de seguridad. Recomiendo particularmente adquirir licencias en la gama de productos de Tenable porque siempre están a la cabeza en actualizaciones de firmas y parches para ofrecer el mejor servicio en seguridad.
- Integra herramientas de monitoreo en tiempo real, como por ejemplo AlienVault OSSIM & USM y LogRhythm. AlienVault cuenta con File Integrity Monitoring; mientras que por su parte LogRhythm ofrece análisis forenses y módulos complementarios que te ayudan a identificar inmediatamente aquellos cambios sin autorización que ocurran en tus redes. Estas herramientas también crean alarmas para ataques de ransomware y te asisten en su solución antes de que infecten otros dispositivos en tus redes.
- Considera añadir protección extra con soluciones de endpoint con softwares inteligentes que detectan infecciones en sus etapas más tempranas, y crean alarmas de seguridad cuando un código malicioso intenta tomar las riendas en tus redes. La mejor opción para hacer esto son las contenidas en Trend Micro.
- Respalda regularmente tus datos. Actúa e implementa esta buena práctica antes de que ocurra una vulnerabilidad de día 0, ya que nunca sabemos cómo, cuándo y dónde van a impactar.
- Alienta a tus empleados a participar en talleres y jornadas de actualización, y sé particularmente insistente en la aplicación de buenas prácticas en seguridad digital. Esta es probablemente la mejor y más sencilla política que prevendrá a tu compañía de sufrir los embates de cualquier ataque de ransomware.
La medida más urgente que necesitas aplicar en los próximos minutos para evitar ser alcanzado por Not-Petya – Petya, es aplicar los parches de seguridad a tus redes y Sistemas Operativos. Siempre podemos asistirte en esta tarea, y también acompañarte en el proceso completo del manejo del ciclo vulnerabilidades o simplemente contáctanos aquí.