El virus Petya, que ayer afectó a grandes empresas de todo el mundo es más peligroso y sofisticado que WannaCry, aunque se base en el mismo principio de propagación masiva a través de las redes locales. “Pese a que todavía no sepamos con certeza cuál es el primer equipo infectado y cómo se infectó, sabemos que este nuevo malware usa la vulnerabilidad EternalBlue junto a lo que llamamos en ciberseguridad movimientos laterales”, dice Sergio de los Santos, director de innovación y laboratorio en Eleven Paths, unidad especializada en ciberseguridad de Telefónica, a EL PAÍS. “Ahora no sólo busca equipos vulnerables, también emplea herramientas de administración para infectar a todos los equipos de una red si, por suerte, encuentra previamente una máquina con dichos privilegios”.
“Nos habíamos olvidado ya de los gusanos y los ataques informáticos siempre han estado enfocados a atacar a alguien de forma sigilosa a través de infecciones por email en los últimos años” señala De los Santos. “Pero no hemos aprendido pese al tirón de orejas”.
El experto de seguridad de ElevenPaths señala que, no obstante, la parte importante del virus es su virtud de gusano. Y lo más sorprende, ya que al igual que en el WannaCry, no se puede determinar un motivo claro. Si hubiese ánimo de lucro detrás del ciberataque, robar y vender información pasando inadvertido sería mucho más rentable. “Hacer tanto ruido no tiene sentido cuando se quiere obtener un fin, es muy extraño”, recalca.
No es una réplica de WannaCry
Es un ciberataque mejor diseñado, menos amateur y que cuenta con estos movimientos laterales como principal novedad, “pero Petya no es un nuevo WannaCry sin interruptor de la muerte”, ha aclarado el joven conocido por MalwareTech que logró parar el virus con un dominio de 10 dólares hace un mes. “Es un malware común que no se propaga entre diferentes redes”.
WannaCry se extendió empleando exclusivamente la vulnerabilidad en el protocolo de red de algunas versiones de Windows que almacenaba la Agencia Nacional de Seguridad de Estados Unidos y que filtró el grupo Shadow Brokers. No hay evidencias de una propagación entre redes ahora, pero la infección inicial fue mayor.
“Petya se propagó posiblemente entre millones de ordenadores al comprometer el popular software ucraniano MeDoc, usando sus actualizaciones para instalar el virus”, dice MalwareTech en su blog. “Este vector inicial no está confirmado, incluso la compañía lo ha negado, pero hay evidencias que sostienen este punto”. Microsoft ha confirmado en su blog técnico que MeDoc ha sido uno de los vectores iniciales de infección a través de su sistema de actualización.
Teóricamente, aunque su propagación esté limitada a las redes locales, el héroe contra el WannaCry señala que teóricamente es posible que escape a otras redes si la máquina infectada tiene una dirección IP pública y tiene mal configurada la submáscara de red. Es difícil que se dé el caso, pero posible si se habla de un gran número de infectados.
(Fuente: El País)