Petya/Golden Eye/No Petya
Petya/Goldeneye (también llamado NotPetya) es un ataque de ransomware a gran escala llevado a cabo en 2017. El malware se dirige a sistemas basados en Microsoft Windows, infectando el registro de arranque principal para ejecutar una carga útil que cifra la tabla de asignación de archivos del disco duro y evita que Windows se inicie.
Así, tras ser infectado, el equipo de la víctima queda totalmente bloqueado a partir del próximo reinicio. Posteriormente, los criminales exigen al usuario un pago en criptomonedas para recuperar el acceso.
Fechas de ataque
Aunque fue identificado por primera vez en 2016, fue el 27 de junio de 2017 cuando se desencadenó el ataque masivo, utilizando una variante de ransomware que afectó a más de 60 países. Se propagó a través de archivos adjuntos de correo electrónico maliciosos. Más de 12.500 equipos en Ucrania se hallaban entre los primeros objetivos, según Microsoft, aunque la infección se extendió rápidamente a otros 64 países, entre ellos Rusia y, Polonia, Italia y Alemania.
El 28 de junio Microsoft publicó un post declarando que los delincuentes habían dirigido su ataque contra el software de M.E.Doc, una compañía especializada en contabilidad fiscal que se utilizó como punto clave en la propagación.
A principios de julio el grupo responsable del ataque realizó su primera declaración pública, a través del servicio de anuncios DeepPaste de la red Tor. En el mensaje, los autores ofrecían la clave de cifrado privada utilizada para recuperar los equipos a cambio de 100 bitcoin, el equivalente a unos 250,000 dólares. Según una evaluación de la Casa Blanca el montante de las pérdidas que provocó ascendió a 10.000 millones de dólares. La autoría se atribuyó a hackers relacionados con los servicios de seguridad rusos.
Tipología de ataque
Petya se propagó a través del exploit EternalBlue, desarrollado por la Agencia de Seguridad Nacional de Estados Unidos (NSA), el mismo utilizado a principios de ese mismo año por el ransomware WannaCry. Además de cifrar los archivos en el ordenador, esta variante de malware se caracteriza por cifrar el MBR cuando obtiene permisos, bloqueando así el acceso completo.
Se distribuye como un archivo DLL mediante un export, que se nombra en base a un parámetro que cambia con cada sample, al iniciar el proceso de cifrado en el ordenador. Cuando se ejecuta encripta ciertos archivos en las unidades de sistema infectadas. Además, si obtiene permisos de administrador también cifra el sector del sistema de arranque impidiendo el acceso al equipo, a menos que se introduzca una clave.
El sample crea también la tarea programada para apagar el ordenador después. Al reiniciar el equipo, muestra una ventana falsa que indica que se está resolviendo un problema de disco, para después desplegar la ventana en la que se pide el rescate.
Cómo protegerse
- Es importante verificar que los programas de seguridad están al día y las últimas características de protección están habilitadas, actualizando el sistema operativo y comprobando si el Firewall está habilitado.
- Tener precaución con los documentos adjuntos en los correos electrónicos de remitentes no seguros.
- Instalar barreras de protección avanzadas como Panda Dome, con antivirus y anti malware.
- Analizar los correos electrónicos entrantes y salientes para detectar amenazas y filtrar los ejecutables, de esta forma se evita que puedan llegar a otros usuarios.
- Hacer copias de seguridad periódicas de los datos y asegurarse de que funcionan correctamente y de que no están conectados a la red.
