Una nueva variante de “ransomware”, un código informático malicioso que secuestra computadoras, conocida como Petya, afecta desde el martes vulnerabilidades en equipos en todo el mundo. 

El impacto afecta a una amplia gama de industrias y organizaciones, incluyendo infraestructura crítica como energía, banca y sistemas de transporte. 

Se trata de una nueva generación de “ransomware” diseñado para aprovechar las mismas vulnerabilidades que fueron explotadas durante el reciente ataque de WannaCry en mayo. 

Este último ataque fue definido como un “ransomworm” por Aamir Lakhani, estratega senior de la empresa de seguridad informática Fortinet.

“Esta variante, en lugar de dirigirse a una sola organización, utiliza un enfoque amplio que se dirige a cualquier dispositivo que su gusano pueda encontrar y sea capaz de explotar”, detalló el especialista ante iProfesional.

Este ataque se inició con la distribución de un documento de Excel que explota una vulnerabilidad de Microsoft Office.

Una vez que un dispositivo se infecta a través de este vector, Petya comienza a aprovechar la misma vulnerabilidad utilizada por WannaCry para propagarse a otros dispositivos.

“El comportamiento semejante a un gusano que exhibe este malware se debe a su detección activa para un servidor SMB. Parece que se está extendiendo a través de EternalBlue y WMIC”, explicó Lakhani. 

Una vez que un dispositivo vulnerable fue dirigido, Petya parece afectar el registro de arranque principal (MBR, por sus siglas en inglés) durante el ciclo de infección. 

Luego proporciona al usuario una nota de rescate que dice: “Sus archivos ya no son accesibles porque han sido encriptados”, mientras exige un pago aproximado de u$s300 de rescate en la moneda digital Bitcoin. Después especifica que apagar la computadora dará lugar a la pérdida completa del sistema.

“Esta es una táctica distinta a la que se ve en otras versiones de ransomware, como la de un reloj de cuenta atrás o el borrador gradual de archivos de datos. Con la mayoría de los ataques de ransomware, la única pérdida potencial son los datos”, advirtió el especialista de Fortinet. 

Debido a que Petya altera el registro de arranque principal, el riesgo es la pérdida de todo el sistema. Además, hace el reinicio del sistema en un ciclo de una hora, agregando un elemento adicional de denegación de servicio al ataque.

Petya usa el mismo vector de ataque que WannaCry, explotando las mismas vulnerabilidades de Microsoft que fueron descubiertas por el grupo de intrusos informáticos Shadow Brokers a principios de este año. 

“Sin embargo, debido a que se utilizaron vectores de ataque adicionales en este exploit, el parche por si solo habría sido inadecuado para detenerlo completamente, lo que significa que el parche debe combinarse con buenas herramientas y prácticas de seguridad”, afirmó el especialista de Fortinet.

“Demasiadas organizaciones practican una mala higiene en la seguridad. Cuando un exploit apunta a una vulnerabilidad conocida para la cual un parche ha estado disponible durante meses o años, las víctimas sólo pueden culparse a ellas mismas. Los elementos claves de este ataque apuntaban a las vulnerabilidades para las cuales los parches estaban disponibles durante algún tiempo”, señaló Lakhani, quien destacó que “estas mismas organizaciones tampoco disponen de herramientas adecuadas para detectar este tipo de explotaciones”.

RecomendacionesDiego Taich, director de consultoría en tecnología y seguridad de PwC Argentina, aseguró ante iProfesional que “la protección efectiva contra los ciberataques no tiene tanto que ver con factores tecnológicos puntuales, sino con una administración de riesgo proactiva”. 

Taich propuso los siguientes cinco factores clave a tener en cuenta:

Mantenimiento digital sólidoEl episodio WannaCry destaca la importancia de una gestión de tecnología de la información en alerta, lo que esencialmente implica mantenerse actualizado con los últimos avances tecnológicos.

Pero también se deben implementar prácticas rigurosas, como la de realizar varias copias de seguridad de los datos de la empresa, controlarlas regularmente y guardarlas en sistemas diferentes.

La habilidad de detectar un comportamiento intrusoEl error humano sigue siendo la manera más frecuente de obtener acceso a información confidencial. 

Muchas veces, los empleados exponen información a una amenaza cibernética sin saberlo, a través de un correo electrónico fraudulento u otras técnicas de ingeniería social, y le otorgan acceso a los “hackers”. 

Las organizaciones que cuentan con prácticas de administración de riesgo efectivas rara vez divulgan información sensible a personas ajenas, protegiendo particularmente cuentas administrativas y otra información privilegiada.

La colaboración entre profesionales de la seguridad de diversas organizaciones es una de las mejores defensas contra la actividad de delito informático.

Diseño cuidadoso de la infraestructura de la tecnología de la informaciónCada compañía posee activos de información que son especialmente valiosos: propiedad intelectual, datos confidenciales de clientes o información financiera, entre otros. 

Estos activos deben recibir una protección especial, por lo que es necesario que se diseñen sistemas acordes. ¿Qué vendedores, proveedores y socios tienen acceso a esta información, y qué se está haciendo para protegerla? 

Es importante reconsiderar los controles de seguridad y autenticación, introduciendo datos biométricos, símbolos o la combinación de ambos.

Planificación y ensayos anticipadosDe la misma forma que la organización desarrolla sus planes de emergencia (por ejemplo, en caso de incendios), se debería adoptar una estrategia similar para estar preparados al momento de los ciberataques. 

El plan debería especificar no solo cómo responder ante un hecho, sino también la cadena de mando de información para notificar a los clientes en caso de robo de la información que los afecte.  

Para estar preparado ante ataques de ransomware, se debe establecer una matriz de decisión y determinar al momento del incidente quién recuperará la información de la copia de seguridad, o quién se comunicará con los secuestradores de la información. 

Pensar de antemano estas cuestiones ayudará a la organización a estar mejor preparada ante una crisis.

Adopción temprana de tecnología en la nubeLos sistemas basados en la nube se actualizan automáticamente, acumulan datos sobre ataques en tiempo real e incorporan restricciones integradas que separan las capas de software y bloquean el que resulte afectado. 

Esto constituye una ventaja con respecto a los sistemas que dependen de las computadoras en las instalaciones, más vulnerables. 

“Cuando estas acciones se hayan convertido en parte del ADN de la compañía, la destreza para el manejo de los riegos cibernéticos se transformará en un activo estratégico. Si se logra esto, también se podrán controlar muchos de los otros desafíos de administración en un contexto de negocios cada vez más complejo”, concluyó Taich.