SophosLabs, la unidad de análisis de datos y amenazas de la firma especializada en ciberseguridad Sophos, reportó una nueva cepa de ransomware el 27 de junio. Este malware ha sido distinta y confusamente, llamado como Petya, GoldenEye, WannaCry2, NotPetya, PetrWrap y PetyaWrap. Sophos identifica el archivo principal de este malware por el nombre Troj/Ransom-EOB, pero en la siguiente información se utilizará el nombre PetyaWrap para mayor facilidad.
De acuerdo a Por Paul Ducklin, redactor en Naked Security de Sophos, “cada vez que rompe una nueva historia de malware, surgen muchas preguntas que a veces son difíciles de preguntar:
¿Qué pasa si la pregunta parece tan obvia que te sientes avergonzado de no saber la respuesta?
¿Qué pasa si algo realmente te molesta pero la pregunta se siente demasiado trivial?
¿Qué pasa si hay detalles interesantes, incluso importantes, que ni siquiera se te ocurrió preguntar?”
Así es que Ducklin preparó esta guía para entender este nuevo ataque de ransomware:
1. ¿Por qué el nombre PetyaWrap?
El corazón de este nuevo ransomware es casi idéntico a una cepa ransomware existente desde el 2016 conocido como Petya. A diferencia de la mayoría de ransomware, que revuelve archivos de datos, pero deja un ordenador capaz de arrancar en Windows y ejecutar sus aplicaciones habituales, Petya revuelve el disco en el nivel del sector, de modo que no se puede iniciar normalmente en absoluto.
Pero la variante PetyaWrap hace mucho más que el original Petya ransomware.
PetyaWrap incluye un número de otros conceptos y componentes saqueados de otras cepas de malware, incluyendo GoldenEye y WannaCry, envuelto en una nueva variante de ransomware que hace mucho más que la cepa original Petya. Por eso Sophos lo llama PetyaWrap en este artículo, para aclarar.
2. ¿Qué técnicas de malware combina PetyaWrap?
Al igual que WannaCry, PetyaWrap es un gusano informático, lo que significa que puede propagarse por sí mismo. PetyaWrap puede copiarse alrededor de una red y luego lanzar automáticamente esas nuevas copias sin esperar a que los usuarios lean los correos electrónicos, abran archivos adjuntos o descarguen ficheros a través de enlaces web.
Al igual que el ransomware GoldenEye, PetyaWrap encripta los archivos de datos de manera que sólo los atacantes conocen la clave de desencriptación, por lo que no se puede descifrar los archivos sin su ayuda.
Como si eso no fuera suficiente, después de difundir y revolver los datos, PetyaWrap hace lo mismo que el malware original Petya, que revuelve su disco hacia abajo en el nivel del sector, por lo que no se puede acceder a la unidad C: en absoluto, incluso si se conecta el disco en otro equipo.
3. ¿Cómo se propaga PetyaWrap a través de una red?
Primero, como WannaCry, trata de explotar un par de agujeros críticos de seguridad de Windows que fueron robados de la Agencia de Seguridad Nacional de los Estados Unidos (NSA) y filtrados por un equipo de hackers llamado Shadow Brokers. (La principal vulnerabilidad utilizada es comúnmente conocida por su nombre NSA original: ETERNALBLUE.)
Si se tienen los parches contra WannaCry – Microsoft publicó parches que impidieron el ataque antes de que WannaCry saliera – entonces se está protegido contra esta parte de PetyaWrap.
En segundo lugar, trata de propagarse utilizando una herramienta popular de ejecución remota de Windows llamada PsExec – PetyaWrap tiene una copia del software PsExec incrustado en su interior, por lo que no es necesario descargarlo en primer lugar.
PsExec es parte de la propia suite Sysinternals de Microsoft, comúnmente aprovechada por los ciberdelincuentes como una forma conveniente de moverse dentro de una red después de haber entrado desde el exterior.
Hay que tener en cuenta que el truco PsExec no funcionará si el equipo infectado no tiene suficiente privilegio de cuenta para ejecutar comandos en el destino que está atacando, es una buena razón para no utilizar las cuentas de administrador todo el tiempo, no importa lo conveniente que podría ser para el personal de TI.
En tercer lugar, PetyaWrap husmea en la memoria buscando contraseñas que aumenten sus privilegios de acceso y le den acceso administrativo a otros equipos de la red.
Este espionaje de contraseña se realiza utilizando una copia modificada de una herramienta de captura de contraseñas llamada LSADUMP de Mimikatz Toolkit. Como con PsExec, esta herramienta de hacking se incrusta en el programa PetyaWrap, por lo que no es necesario descargarla primero.
4. ¿El parche contra WannaCry es suficiente para estar seguro?
No. Como se explica anteriormente, PetyaWrap tiene tres trucos de propagación, de los cuales, la técnica de WannaCry es la primera que prueba. Si el agujero de WannaCry está cerrado, PetyaWrap intenta PsExec; si eso no funciona, intenta LSADUMP y la interfaz de administración de Windows para “administrar” tu red.
Los parches para WannaCry son necesarios pero no suficientes.
5. ¿Pueden los productos de Sophos bloquear los componentes utilizados por PetyaWrap para difundir?
Sí. El principal programa PetyaWrap, que contiene el código “worming” de estilo WannaCry, se bloquea como malware: Troj/Ransom-EOB.
El programa de PsExec para el segundo truco se bloquea como uso potencialmente indeseado (PUA): PsExec del tipo Hacktool. La herramienta de husmeo de LSADUMP para el tercer truco se bloquea como malware: Troj/Mimikatz-a.
6. ¿Pueden los productos de Sophos bloquear los componentes ransomware si intentan codificar los archivos y el disco?
Sí. Sophos Intercept X y Sophos Home Premium beta incluyen herramientas proactivas de bloqueo de malware que detectan, bloquean y reparan la actividad de ransomware. La parte que recorre archivos de PetyaWrap es detectada y bloqueada por cryptoguard. La sección que revuelve PetyaWrap es detectada y bloqueada por WipeGuard.
7. ¿Recuperaré mis datos si pago el rescate?
Es dudoso. De hecho, la dirección de correo electrónico por la que se supone se puede ponerse en contacto con los delincuentes está suspendida, por lo que es poco probable que se pueda hacer un trato con ellos.
8. ¿Puede PetyaWrap difundirse a través de internet, como WannaCry?
No y sí. WannaCry tenía dos funciones de propagación que corrían en paralelo: uno recorrió su LAN tratando de difundir localmente; el otro salió al azar buscando nuevas víctimas en internet.
PetyaWrap no intenta explícitamente encontrar nuevas víctimas en internet, pero se adhiere al LAN, tal vez con la esperanza de llamar menos la atención. Desafortunadamente, las LANs (abreviaturas de redes de área local) a menudo no son realmente locales, a menudo incluyen oficinas periféricas y trabajadores remotos, además de contratistas.
Por supuesto, algunos de esos ordenadores remotos pueden ser parte de más de una LAN, lo que significa que pueden actuar como un “puente” entre dos redes, incluso si pertenecen a organizaciones completamente diferentes.
En otras palabras, con todo y que PetyaWrap no está programado para difundirse a propósito a través de internet, tampoco está programado para evitar saltar sobre la red de otra persona si hay una interconexión.
Es importante destacar que PetyaWrap utiliza las herramientas de red integradas en Windows para sus señalizaciones sobre dónde probar a continuación, así que si se puede navegar a los servidores de una empresa asociada desde un ordenador, o hacer clic a través de sus ordenadores domésticos desde el trabajo, entonces PetyaWrap puede hacer lo mismo.
9. ¿Cómo se inició el brote de PetyaWrap?
Aún no se sabe con seguridad. Muy temprano, el día del ataque muchos señalaron a una compañía ucraniana de software que produce programas de la contabilidad de impuesto, sugiriendo que un hacker de los servidores de la actualización de la compañía pudo haber dado a los ladrones una ventana de oportunidad para lanzar una onda inicial de infecciones.
Microsoft ahora afirma tener pruebas de que una versión hackeada del programa de AutoUpdate de la compañía podría haber estado conectada a un brote PetyaWrap.
10. ¿Ha aparecido PetyaWrap en correos electrónico de phishing?
En Sophos no se ha visto ninguna evidencia de los correos electrónicos de phishing que propagan este ransomware. Pero no hay que bajar la gurdia. Los correos electrónicos de phishing son uno de los conductos más comunes para el malware, especialmente ransomware, para hacer su primera aparición dentro de una organización.
¿Qué debo hacer ahora?
El ransomware como PetyaWrap puede hacer mucho daño, incluso si se limita a una cuenta de usuario regular, porque la mayoría de los usuarios tienen el derecho de leer, escribir y modificar sus propios archivos a voluntad. Pero cualquier malware, especialmente un gusano de red como PetyaWrap, es mucho más peligroso si puede obtener privilegios de nivel de administrador en su lugar.
Por lo tanto, incluso si no se sufrió el brote de PetyaWrap, es un buen pretexto para mirar a quién en la red se le permite hacer qué y dónde se les permite hacerlo.
Aquí hay algunos pasos útiles:
- Revisa todas las cuentas de dominio y administrador local para deshacerse de las contraseñas que pueden ser fácilmente agrietadas. Si no pruebas las fortalezas de tu contraseña, los ladrones lo harán por ti.
- Revisa qué personal tiene, o puede adquirir, privilegios de administrador en los equipos de otros usuarios o en el dominio. Si te das cuenta de que tienes privilegios que ya no necesitas, díselo y haz que te lo quiten – por tu propia seguridad, así como la de todos los demás.
- No permitas que el personal de TI inicie sesión o ejecute ningún software con privilegios de Administrador excepto cuando lo necesiten explícitamente. Una vez que hayan completado una tarea administrativa, deben volver a degradarse a los privilegios de usuario habituales, aunque sea menos conveniente.
- Comprueba si tienes alguna acción de red que se supone que se limita a su LAN, pero que aparecen en internet. Si no revisas tu propia red, los ladrones lo harán por ti.
Nunca se debe asumir que las opciones de seguridad que se aplicaron el año pasado, o los ajustes que se reforzaron el mes pasado, todavía funcionan hoy.