Aamir Lakhani, estratega senior de Seguridad en Fortinet, explica que se trata de una nueva generación de ransomware diseñado para aprovechar las mismas vulnerabilidades que fueron explotadas durante el reciente ataque de WannaCry el pasado mayo.
“El nuevo ataque, conocido como Petya, es algo a lo que nos referimos como un ransomworm. Esta variante, en lugar de dirigirse a una sola organización, utiliza un enfoque amplio que se dirige a cualquier dispositivo que su gusano pueda encontrar y sea capaz de explotar”, comenta Lakhani.
Según el experto, hay razones para suponer que este ataque se inició con la distribución de un documento de Excel que explota una conocida vulnerabilidad de Microsoft Office. Una vez que un dispositivo se infecta a través de este vector, Petya comienza a aprovechar la misma vulnerabilidad utilizada por WannaCry para propagarse a otros dispositivos. El comportamiento semejante a un gusano que exhibe este malware se debe a su detección activa para un servidor SMB. Parece que se está extendiendo a través de EternalBlue y WMIC.
Una vez que un dispositivo vulnerable ha sido intervenido, Petya parece afectar el registro de arranque principal (MBR, por sus siglas en inglés) durante el ciclo de infección. Luego proporciona al usuario una nota de rescate que dice: “Sus archivos ya no son accesibles porque han sido encriptados”, a la vez que exige un pago aproximado de USD300 de rescate en la moneda digital Bitcoin. Después especifica que apagar la computadora dará lugar a la pérdida completa del sistema.
“Esta es una táctica distinta a la que se ve en otras versiones de ransomware, como la de un reloj de cuenta atrás o el borrador gradual de archivos de datos. Con la mayoría de los ataques de ransomware, la única pérdida potencial son los datos. Debido a que Petya altera el registro de arranque principal, el riesgo es la pérdida de todo el sistema. Además, hace el reinicio del sistema en un ciclo de una hora, agregando un elemento adicional de denegación de servicio al ataque”, explica el representante de Fortinet.
Además de las vulnerabilidades de Microsoft Office, Petya usa el mismo vector de ataque que WannaCry, explotando las mismas vulnerabilidades de Microsoft que fueron descubiertas por los Shadow Brokers a principios de este año. Sin embargo, debido a que se utilizaron vectores de ataque adicionales en este exploit, el parche por si solo habría sido inadecuado para detenerlo completamente, lo que significa que el parche debe combinarse con buenas herramientas y prácticas de seguridad. “Los clientes de Fortinet, por ejemplo, estaban protegidos de todos los vectores de ataque, ya que fueron detectados y bloqueados por nuestras soluciones ATP, IPS y NGFW. Además, nuestro equipo AV emitió una nueva firma antivirus a las pocas horas del descubrimiento para mejorar la primera línea de defensa”, indica Lakhani.
Llama la atención que a pesar de la divulgación de las vulnerabilidades y parches de Microsoft, y la naturaleza mundial del ataque de WannaCry, aparentemente hay miles de organizaciones, incluyendo aquellas que manejan infraestructura crítica, que han fallado en parchear sus dispositivos. Esto también puede ser simplemente una prueba para entregar futuros ataques dirigidos a vulnerabilidades recientemente reveladas.
Lakhani pone de relieve que WannaCry no tuvo mucho éxito desde una perspectiva financiera ya que generó pocos ingresos para sus desarrolladores. Esto se debió, en parte, porque los investigadores fueron capaces de encontrar un interruptor que desactivó el ataque. La carga útil de Petya, sin embargo, es mucho más sofisticada aunque queda por ver si tendrá más éxito económico que su predecesor.
El experto de Fortinet indica que hasta el momento, hay dos cosas claras: 1) demasiadas organizaciones practican una mala higiene en la seguridad. Cuando un exploit apunta a una vulnerabilidad conocida para la cual un parche ha estado disponible durante meses o años, las víctimas sólo pueden culparse a ellas mismas. Los elementos claves de este ataque apuntaban a las vulnerabilidades para las cuales los parches estaban disponibles durante algún tiempo. Y 2) estas mismas organizaciones tampoco disponen de herramientas adecuadas para detectar este tipo de explotaciones.
“Lo que estamos viendo ahora son dos exploits adicionales que se agregan a la familia de amenazas de ransomware. Con WannnaCry vimos a diseñadores de ransomware por primera vez combinar ransomware con un gusano para acelerar su entrega y ampliar la escala y el alcance del ataque. Y ahora, con Petya, vemos la adición de apuntar al registro de arranque principal para subir la apuesta sobre las consecuencias de no pagar el rescate exigido, de simplemente perder archivos personales que pueden haber sido respaldados a potencialmente perder todo el dispositivo”, concluye señalando Aamir Lakhani, estratega senior de Seguridad en Fortinet.