Has elegido la edición de . Verás las noticias de esta portada en el módulo de ediciones locales de la home de elDiario.es.

¿Petya o NotPetya? Lo que se sabe del nuevo ciberataque mundial

¿Petya o NotPetya?

David Sarabia / José Antonio Luna

Un nuevo ciberataque afecta a empresas de Ucrania, Rusia, Inglaterra e incluso España. Apenas unos minutos después de conocerse las primeras infecciones, los medios ya se referían al ataque como el perpetrado por el ransomware Petya, perteneciente a la familia Petrwrap. Pero, ¿y si no fuera así? La firma de ciberseguridad rusa Kaspersky ha descolocado a todos en un comunicado publicado esta tarde donde asegura que el virus “es algo nunca antes visto”.

Lo han llamado NotPetya (“No es Petya”) y fuentes de la compañía aseguran a eldiario.es que, aunque sí está basado en Petya, no es Petya como tal. “No son las mismas muestras de la familia que conocíamos todos hasta la fecha”, continúan. Kaspersky se centra ahora en saber cómo se ha distribuido el virus, tanto a nivel interno (en una empresa) como externo (entre empresas).

“Parece que aquí sí que se está utilizando el mismo exploit que utilizaba WannaCry, que es el ETERNABLUE para infección interna de equipos; así como otras herramientas tradicionalmente administrativas que solo se pueden utilizar si tienes credenciales robadas”, explica la firma rusa. ETERNALBLUE fue uno de los muchos malwares que se pusieron a la venta en la Deep web en abril y que pertenece, en última instancia, a la NSA. “Parece que sí, que hay algún componente también que hace que robe credenciales automáticamente. La pregunta es cómo ha hecho para infectar a las compañías y acceder a sus redes internas”, dicen desde Kasperksy.

La firma rusa trabaja ahora intentando adivinar cómo se ha propagado el virus en base a dos teorías. Por un lado, con la infección a través de correos electrónicos, similar al procedimiento utilizado por WannaCry. Por otro, el uso de una vulnerabilidad para el IIS (Internet Information Services), “el gestor de páginas web de Microsoft y para el que había también exploits disponibles en el link de The Shadow Brokers [los hackers que pusieron a la venta los exploits]. Pero ambas están por confirmar”.

“Está mejor hecho que WannaCry”

Aunque NotPetya también utiliza ETERNABLUE, el mismo software que empleó WannaCry para aprovechar la vulnerabilidad de Microsoft, existen diferencias entre ambos. “En este caso parece que utiliza vulnerabilidades adicionales, ya que WannaCry no tuvo barreras para expandirse de forma rápida”, añade la compañía de seguridad informática rusa.

Lo destacado entonces sería cómo NotPeyta ha utilizado un método de infección interna que parece tener una efectividad mayor. Este nuevo ataque infecta muy rápido y no cifra todos los archivos, sino lo que se conoce como la 'tabla de archivos'. “Si tuviéramos un libro con un índice y las páginas, el virus cifraría el índice, que es lo que te dice dónde tienes que encontrar en el disco cada archivo”, explica Kaspersky

La compañía cree que NotPetya “está mejor hecho” que WannaCry, y relaciona el éxito de este último a la falta de parches y actualizaciones de seguridad de las empresas. “Aunque todavía no sabemos cuál es el vector de infección, esta ha sabido aprovechar un hueco. La otra vulnerabilidad, usada por WannaCry, permitía que se extendiera muy rápido por el sistema. No obstante, lo que sea que están utilizando ahora no parece tener esa capacidad. Eso sí, dentro de las empresas puede ser muy dañino”, sentencia la empresa.

A diferencia de lo que ocurrió con WannaCry, la propagación de NotPetya no se puede detener con un “botón rojo”. El primero se detuvo comprando el domino de la web a la que el malware realizaba una petición y, si no obtenía respuesta, entonces se propagaba. En esta ocasión este no es un método para interrumpir el ciberataque.

Mientras tanto, el Instituto Nacional de Ciberseguridad en España (INCIBE) recomienda tomar las siguientes medidas preventivas: 

Etiquetas
stats