Un nuevo ataque cibernético mundial está en marcha. Parece haber comenzado en Ucrania y se está extendiendo rápidamente por toda Europa y Asia. No es WannaCry y no es, como se informó originalmente, Petya tampoco. En su lugar, es una nueva variante de ransomware llamado NotPetya. Y desafortunadamente, este ataque es mucho más sofisticado e inteligente de lo que sugiere su minimalista apodo sugiere.
El brote parece haber sido iniciado por medio de una actualización de software malicioso para M.E.Doc, un popular paquete de software de contabilidad utilizado por las empresas ucranianas, con informes iniciales de la infección al día siguiente de la liberación de una actualización. Muchas fuentes, como Cisco Talos, ESET, MalwareHunter y Kaspersky Lab, han informado y hasta la policía ucraniana ha enviado Tweets informando sobre un atacante desconocido probablemente ha comprometió los servidores de actualización M.E.Doc y empujó una actualización de software malicioso a los clientes. M.E.Doc, sin embargo, niega vehementemente, en su sitio web y página de Facebook, que esto sea cierto.
Preocupante que el término “Ciberataque Global” se esté normalizando
Hasta ahora, la mayor concentración de víctimas está en Ucrania y Rusia, pero una vez más, estamos viendo un impacto global con nuevos informes de infecciones en varios países.
Mientras que algunas organizaciones están eligiendo negar públicamente la caída de sus sistemas como víctimas del ataque NotPetya, las redes sociales están llenas de ejemplos:
Viejo Malware. ¡Nuevos trucos!
Lamentablemente, estamos empezando a ver más y más ataques como este. Antiguo malware o ransomware se está combinando con un nuevo vector de ataque para causar estragos globales. Petya, por ejemplo, ha estado alrededor por más de un año, pero se entregó principalmente a través de ataques de phishing, lo que limita considerablemente su capacidad de propagación.
Esta nueva variante está aprovechando características similares a las utilizadas por WannaCry, solo que estos autores fueron mucho más allá con su trabajo e incluyeron algunos trucos adicionales, como agregar el exploit de EternalRomance – una vulnerabilidad de ejecución remota de código dirigida a Windows XP a sistemas Windows 2008 Puerto TCP 445. Sin duda, estas modificaciones contribuyen a explicar la rapidez y alcance de la infección.
Entonces, ¿cómo trabaja NotPetya?
Al igual que WannaCry, NotPetya aprovecha ExternalBlue de Shadow Brokers liberado en abril. Por supuesto, todo el mundo debería haber remendado sus sistemas contra esto en marzo cuando Microsoft lanzó el Boletín de Seguridad MS17-010, pero lo que hace que este ataque sea único es que también tiene un mecanismo de proliferación de copia de seguridad para propagarse dentro de una red.
La carga útil de NotPetya, incluye la capacidad de buscar nombres de usuario en caché y credenciales de contraseña en la memoria y usarlos, a través de WMI / WMIC y PSEXEC, para moverse lateralmente para acceder a otros sistemas de red. Si el malware tiene la suerte de capturar credenciales privilegiadas, puede propagarse fácilmente y rápidamente a otros sistemas, incluso aquellos que han sido remendados contra la vulnerabilidad para EternalBlue.
A diferencia de WannaCry, un solo sistema expuesto e infectado en una red puede proporcionar un medio para NotPetyainfiltrarse en una red y moverse lateralmente para infectar a todos los otros sistemas a través de WMI o PSEXEC. Esto lo convierte en una amenaza mucho más importante que WannaCry.
Una vez que NotPeyta infecta un sistema
NotPetya parece esperar unos 10 minutos después de infectar para reiniciar el sistema. Es probable que este retraso evite la detección de malware de tipo sandbox. Una vez que se reinicia, comienza a encriptar la tabla MFT en particiones NTFS, efectivamente haciendo que el sistema no responda y llegando a un punto donde entrega la nota de rescate demandando USD $300 en Bitcoin.
El ataque después busca propagarse a otros sistemas escaneando la red para posibles blancos de infección. Al hacer esto, el malware intenta recolectar nombres de usuario y contraseñas de usuarios conectados para propagar el ataque a través de credenciales de red válidas. Esto es muy tortuoso y asombrosamente inteligente como una vez que se ejecuta salvaje en su red, se puede propagar a los sistemas que habrían sido impermeables al ataque inicial.
¿Qué es lo relevante de NotPeyta?
Seamos claros, el ataque de WannaCry no ha terminado de infectar sistemas de todo el mundo todos los días. Sin embargo, ahora viene NotPetya, el segundo gran ataque global en menos de un mes que ha sido alimentado por acciones de Shadow Brokers y presuntamente robadas a la NSA.
¿Por qué es tan espantoso? Nuestra mayor preocupación acerca de este ataque es que demuestra además que los ciberdelincuentes ahora tienen acceso a herramientas a nivel de una agencia nacional de inteligencia y están innovando activamente sus métodos de ataque para incluirlas con un rotundo éxito. Es el equivalente cibernético de repartir armas de destrucción masiva a todos los cibercriminales profesionales y dejarlos hackear y modificar cada arma a voluntad.
Para aquellos que se preguntan, ¿hay alguna esperanza de que los usuarios descifren sus archivos? Lo siento, pero probablemente no. Estos atacantes son profesionales del código y han utilizado un sólido esquema de cifrado. Así que a menos que alguien encuentre una falla en el código para desarrollar un método de descifrado, las víctimas no van a tener suerte.
Los hackers podrán ser excelentes codificadores, pero son malos criminales
Los ataques de ransomware más sofisticados crean un monedero único para cada ataque informático. Esto hace que sea fácil rastrear qué víctima ha pagado el rescate. NotPetya, sin embargo, está exigiendo que cada víctima envíe su pago de USD $300 a una única cartera de Bitcoin. El problema con este proceso es que tener un solo método de pago Bitcoin hará que sea mucho más fácil para la policía vigilar dicha cuenta, si los atacantes desean retirar el botín.
El otro aspecto relevante es que estos atacantes piden a las víctimas que confirmen el pago enviando su número de billetera por correo electrónico a wowsmith123456@posteo.net. El problema con un único método de comunicación como éste, es que Posteo, el proveedor de correo electrónico que albergaba la cuenta de correo electrónico de los atacantes, habría cerrado la sesión, lo que efectivamente hace imposible que los atacantes confirmen el pago y que las víctimas no puedan pagar el rescate y obtener las claves de descifrado para recuperar sus archivos.
Todo este proceso de pago va más allá de lo desconcertante, es completamente estúpido. ¿Por qué se molestan en crear un ataque tan sofisticado como este y no diseñar una mejor manera de cobrar? – Hasta el momento, los atacantes han recibido 35 pagos por un total de 3.51681746 en Bitcoin, el equivalente a USD $8,862.38.
Aquí la dirección Bitcoin:
https://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX#sthash.yqm49xs4.dpuf
Al igual que con WannaCry, ¿cómo es posible que un ataque prolífico y ruidoso, con impacto global no pueda generar un beneficio significativo? Nos hace cuestionarnos cuál es la verdadera motivación detrás de estos ataques y si hay un propósito más nefasto y a largo plazo que no sea simplemente ganar dinero.
Se rumorea que las empresas están comenzando a almacenar Bitcoin y otras criptomonedas en caso de que necesiten pagar rescates para desbloquear sistemas críticos. Si esto es cierto, estamos claramente pasando a un territorio inexplorado social, económico y legal cuando se trata del futuro de los ataques de ransomware.