miércoles, 28 de junio de 2017

Qué hacer para evitar el contagio de PetrWrap (NotPetya / Petya 2017)

Antes de ver qué opciones y soluciones existen para evitar la infección de este software malicioso que ha pillado -de nuevo- al mundo por sorpresa veamos un repaso contextual a modo de aclaraciones e información general:
  • PetrWrap -también conocido como NotPetya, Nyetya, ExPetr y Petya (sic)- es un malware del tipo gusano informático y apariencia de ransomware surgido a raíz de otro existente llamado Petya, al cual se ha añadido el aprovechamiento de varias vulnerabilidades conocidas en sistemas operativos Microsoft Windows:
    • La misma que WannaCry (EternalBlue), es decir el protocolo de red SMBv1.
    • Una vulnerabilidad de Microsoft Office y Wordpad (1) (2) ya corregida y relacionada con la ejecución de código remoto.
    • Los recursos compartidos administrativos. Se encuentran habilitados de forma predeterminada y suponen un riesgo al proporcionar acceso a los ficheros de la máquina en la que se encuentran disponibles.
    • La tecnología de gestión "Windows Management Instrumentation" (WMI), que no es una vulnerabilidad en sí misma pero puede ser explotada para acelerar el proceso de infección.
  • PetrWrap además integra una variante de la herramienta de ataque Mimikatz/LSADump -empleada para conseguir las claves de acceso al sistema del usuario actual y otros efectos al fin- con el objeto de conseguir credenciales para desplegarse por la red local.
  • PetrWrap es un malware muy virulento y acabará por extenderse más que WannaCry, aunque posiblemente no tanto fuera de entornos corporativos. Pese a que meses atrás ya se hizo pública una de sus formas de propagación fuera del ámbito informático, la manera en que combina las otras lo hace mucho más peligroso.
  • PetrWrap comenzó su ciclo de vida infectando ordenadores en Ucrania. Se barajan dos vectores originarios de infección mediante el acceso no autorizado y la manipulación de servidores: uno, a través del sistema de autoactualizado del software de contabilidad MeDoc, utilizado a lo largo y ancho del país en todos los sectores. El otro, empleando la web del ayuntamiento de la ciudad de Bajmut, situada al este de Ucrania.
  • PetrWrap es sólo ligeramente menos destructivo que WannaCry. Cifra y elimina algunos tipos de ficheros (principalmente documentos y archivos, no imágenes ni ejecutables; la lista está al final de esta entrada) de carpetas con hasta 15 niveles de anidación, excluyendo c:\Windows. Posteriormente, tras reiniciar el equipo infectado cifra el índice de ficheros del disco duro mientras muestra una falsa comprobación de disco duro (imitando el aspecto del chkdsk integrado en DOS/Windows) para que el usuario no interrumpa el proceso. Es decir, cifra dos veces, dos aspectos distintos. Abarca más y es más rápido en su operación.
  • PetrWrap no es WannaCry 2.0. Este nuevo malware es mucho más versátil y capaz que WannaCry a la hora de encontrar cómo distribuirse y sólo tienen en común una de las vulnerabilidades aprovechadas. 
  • Aunque PetrWrap fue aparentemente diseñado como ransomware, durante sus primeras horas de vida se descubrió que la dirección de correo asociada había sido dada de baja. Posteo, la empresa alemana que gestiona el dominio de la cuenta de correo electrónico que empleaba el malware hizo público que la cuenta fue rápidamente deshabilitada.
  • En todos los ámbitos se está cuestionando por qué los desarrolladores de PetWrap emplearon un método de comunicación para cobrar el rescate tan sencillo de interrumpir. Las estimaciones por ahora son que el objetivo nunca fue generar un beneficio económico sino un perjuicio sistemático, más o menos focalizado, aún por determinar contra quién — aunque ya se sospecha que este ataque suma uno más en una serie (XData, PSCrypt, PetrWrap y una imitación de WannaCry que bien se podría llamar NotWannaCry) dirigida contra el país del este.
  • Adicionalmente, y apoyando estas hipótesis, los análisis realizados desde los laboratorios de las empresas de seguridad Kaspersky y Comae Technologies han señalado que, de cualquier modo, no había posibilidad de recuperar los datos -incluso aún pagando el rescate en los primeros momentos- puesto que el identificador generado para cada víctima no es un identificador calculado sino una secuencia de caracteres generados al azar. Esto convierte al malware en un inutilizador masivo de equipos, sin ser exactamente lo que se viene llamando un wiper -un eliminador de datos-, pero con estructura de ransomware como distracción durante los momentos mediáticos.
  • Dado lo dispares que son los detalles precisos en cuanto a la información disponible -incluso la proporcionada por fabricantes de soluciones de seguridad y entornos técnicos especializados- es posible que se hayan esparcido diferentes variantes de este malware con diferencias menores entre sí.
  • Aún es pronto para saber si se podrá desarrollar un software de prevención que impida todas las vías de contagio.