Petya ha aprendido de los fallos de WannaCry, aunque no es suficiente
Y todo ello debido a que sus creadores han aprendido de los errores que cometió WannaCry, los cuales provocaron que el ransomware perdiera fuerza en unos pocos días. Este ransomware empezó a circular en 2016, tal y como recogieron nuestros compañeros de RedesZone. La versión actual mejora a esa, y añade un cifrado mucho más seguro.
Entre los afectados se encuentran más de 2.000 organismos que van desde empresas como Maersk, dedicada al transporte y logística de containers, Merck, una compañía médica, e incluso al gobierno y bancos de Ucrania, así como hasta los ordenadores que usan algunas cadenas de supermercados.
 |
 |
 |
Para propagarse, el ransomware utiliza la misma vulnerabilidad que WannaCry, llamada Eternalblue y que se encontraba en el set de herramientas que utilizaba la NSA para hackear y que filtró Shadow Brokers. Mientras que WannaCry era básicamente un proyecto sin acabar realizado por hackers de Corea del Norte, lo cual lo hizo sencillo de bloquear (básicamente, con un “kill switch”), Petya ha aprendido de todos esos fallos y es realmente resistente.
Petya no sólo aprovecha una de las herramientas de hackeo de la NSA, sino que usa hasta tres
El código de Petya, según han analizado ya algunos expertos de seguridad, no incluye ese error. WannaCry se propagaba como un gusano por Internet en ordenadores vulnerables y no parcheados con Windows. Petya, por otro lado, incluye otras herramientas para propagarse incluso en ordenadores parcheados, usando documentos de Office en formato Excel o Word para lanzar macros maliciosos.
Junto con este fallo, Petya usa otra vulnerabilidad de la NSA llamada EternalRomance, y parcheada por Microsoft también en marzo, así como otra llamada EsteemAudit enfocada a Windows XP y Windows Server 2003, la cual Microsoft parcheó de manera excepcional hace un par de semanas.
Una vez que Petya está dentro de una red, roba las credenciales de acceso de administrador, obteniendo control total sobre herramientas de manejo del sistema como Windows PsExec y WMI (Windows Management Instrumentation). Con sólo acceder a estos permisos en un ordenador, el ransomware puede infectar al resto de la red, lo cual tiene en vilo a los administradores de ordenadores en empresas.
Otro fallo que cometió WannaCry es no establecer una dirección única de pago por cada ordenador infectado, ya que usaron sólo cuatro y no tuvieron manera de identificar quien pagaba para enviarle la clave de descifrado. La variante de Petya simplemente añade un paso manual para cerciorarse: enviar una prueba de pago de los 300 dólares en Bitcoin a una dirección de email, lo cual puede dar alas a pensar que pueden dar la clave de descifrado de los ordenadores, aunque esto no suele ocurrir y siempre es recomendable no pagar. Además, el email al que se envían esas pruebas, gestionado por Posteo, ha sido eliminado, por lo que el hacker ya no tiene acceso a esa cuenta.
Por último, mientras que WannaCry cifraba los archivos del PC, Petya obliga a reiniciar el PC para ejecutarse en el arranque y cifrarlo, por lo que, si te aparece un mensaje de Check Disk al arrancar el PC, tienes que apagarlo de inmediato, ya que así puedes salvar el mayor número de archivos posible. Para impedir que se distribuya por una red local, es aconsejable bloquear la ejecución del archivo C:\Windows\perfc.dat.
