Malware
cibercrimen

Cinco años después de NotPetya: lecciones aprendidas

NotPetya amplió enormemente el alcance del daño que pueden causar los ataques de 'malware' y obligó a los CISO y a los investigadores de seguridad a replantearse su enfoque.

Cibercrimen

El 27 de junio de 2017, la víspera del Día de la Constitución de Ucrania, se produjo un gran ciberataque mundial que infectó a más de 80 empresas de ese país con un nuevo ciberpatógeno que se conoció como NotPetya. NotPetya no se quedó dentro de las fronteras de Ucrania, sino que se extendió para infectar y causar estragos en miles de organizaciones de toda Europa y del mundo.

NotPetya fue llamado así porque era similar pero diferente a Petya, un virus ransomware autopropagable descubierto en 2016 que, a diferencia de otras formas incipientes de ransomware en ese momento, era incapaz de ser descifrado. En otra diferencia con las formas anteriores de ransomware, Petya también sobrescribía y encriptaba los registros de arranque maestro y, por lo tanto, se consideraba más una forma malware de limpieza que un ransomware de buena fe.

 

Un falso ransomware que se propagaba fácilmente

Al igual que Petya, su sucesor NotPetya no era un ransomware real porque no se podía descifrar, y los atacantes se escudaban en una falsa petición de rescate de 300 dólares para encubrir lo que resultó ser su verdadero propósito destructivo. NotPetya surgió cinco semanas después de otro peligroso ransomware falso, WannaCry. Considerado como una verdadera "ciberarma", NotPetya compartía con WannaCry el uso de EternalBlue, una herramienta cibernética desarrollada y robada de la Agencia de Seguridad Nacional de Estados Unidos (NSA).

Utilizando Eternal Blue, NotPetya explotó una vulnerabilidad en el protocolo Server Message Block (SMB) de Windows, un fallo que Microsoft parcheó meses antes en Windows 10. No obstante, todo lo que necesitó el malware para propagarse fue un solo ordenador con Windows 10 sin parchear o un PC con una versión antigua de Windows dentro de una organización. Junto con EternalBlue, había otra poderosa herramienta, una antigua herramienta de investigación de seguridad llamada Mimikatz, que podía extraer contraseñas de la memoria. Las dos herramientas juntas permitían que el ataque se moviera de una máquina a otra.

 

Malware altamente contagioso de la GRU rusa

Aunque algunos expertos consideran que NotPetya es una variante de Petya, los dos programas maliciosos se consideran generalmente separados y distintos, especialmente si se tiene en cuenta cómo se propagan. NotPetya era mucho más contagioso que Petya, y al parecer no había forma de evitar que se propagara rápidamente de un huesped a otro.

Como documentó el experto en NotPetya y periodista Andy Greenberg, NotPetya paralizó al gigante del transporte marítimo Maersk, a la empresa farmacéutica Merck, a la filial europea de Fedex TNT Express, a la constructora francesa Saint-Gobain, al productor de alimentos Mondelez y al fabricante Reckitt Benckiser. En total, el malware causó daños por valor de más de 10.000 millones de dólares en todo el mundo. El origen de NotPetya fue un grupo de agentes del GRU ruso conocido como Sandworm o Unidad 74455, que se cree que está detrás de un ciberataque de 2015 a la red eléctrica ucraniana, entre otros incidentes cibernéticos perjudiciales.

CSO ha preguntado a dos expertos que se enfrentaron a las consecuencias de NotPetya hace cinco años cómo ven el ciberataque de 2017 en retrospectiva y qué corolarios podría tener para la guerra actual de Rusia contra Ucrania.

 

El ransomware como arma de guerra

Amit Serper, que era un investigador de seguridad principal en Cybereason cuando NotPetya atacó y ahora es el director de investigación de seguridad en Sternum, fue la primera persona en desarrollar una solución alternativa que desactivó NotPetya. Serper explica a CSO que, en retrospectiva, "el ransomware acababa de empezar a ser frecuente. El ransomware se dirigía sobre todo a la gente corriente. No se dirigía a las grandes empresas o corporaciones como ocurre hoy en día. Así que oímos hablar de cómo una persona normal y corriente tenía toda su máquina encriptada. Recuerdo ejemplos de personas mayores que perdían el acceso a las fotos de sus nietos y ese tipo de cosas".

Después de la llegada de WannaCry y NotPetya, el ransomware pasó de ser algo utilizado de forma oportunista por los ciberdelincuentes, como un "drive-by exploitation", dice Serper, a "casi un arma de guerra en la que los actores del estado-nación utilizarían el ransomware como una herramienta para evitar que otras organizaciones y países grandes y significativos trabajen". Así que NotPetya y WannaCry fueron un momento decisivo entonces".

Ambos virus complicaron el mundo. Los vendedores de ciberseguridad se habían centrado hasta ese momento en problemas teóricos abstractos de seguridad, dice Serper, pero de repente tuvieron que lidiar con el profundo uso indebido de tecnologías simples como el cifrado y el descifrado para el aprovechamiento geopolítico.

"Teníamos que bajar un poco a la tierra y ocuparnos de ese problema antes de examinar amenazas completamente teóricas o más teóricas y más difíciles de aplicar. Ya no se trata de hackear Coca-Cola y robar la receta secreta. Se trata de que una empresa como Coca-Cola se encuentre en medio de una escaramuza geopolítica internacional y que sus cosas queden completamente inutilizadas como esta especie de daño colateral".

A nivel personal, NotPetya marcó un punto de inflexión importante en la vida de Serper. "Afectó a mi vida de una manera muy, muy directa. Es la razón por la que obtuve mi tarjeta verde para vivir en los Estados Unidos".

El abogado de Serper construyó su solicitud de la llamada visa Einstein principalmente en torno a NotPetya. "No tengo un diploma de secundaria. No tengo un título académico. Así que fue muy difícil demostrar que sabía de lo que estaba hablando. Una gran parte de nuestro caso de inmigración fue mi contribución para evitar que NotPetya sucediera. Funcionó, y funcionó durante la administración anterior, en la que los inmigrantes no eran realmente una cosa de interés", dice Serper.

 

NotPetya cambió la conciencia de los CISO

Adam Flatley es actualmente el director de inteligencia de amenazas en Redacted, pero fue el director de operaciones de Cisco Talos durante NotPetya, cuando su equipo fue uno de los primeros en descubrir el evento. "Creo que el evento NotPetya ha cambiado la conciencia de muchos CISOs y CSOs de todo el mundo", dice a CSO.

NotPetya enseñó a los CISO lo que puede ocurrir si no segmentan correctamente sus redes. "Si miras lo que pasó con NotPetya, ves que el malware tenía un mecanismo de propagación sin restricciones que llegaría tan lejos como pudiera", dice Flatley. "Cuando se desató en Ucrania, todas estas empresas que tenían conexiones de red en Ucrania con redes planas fueron diezmadas por ese ataque".

El actual conflicto en Ucrania evoca para Flatley lo ocurrido con NotPetya. "Cuando empezaba la guerra, se hablaba mucho de que los rusos iban a utilizar ransomware o wipers para atacar a Ucrania. Eso activó inmediatamente ese recuerdo de lo que ocurrió la última vez. Luego, cuando la guerra empezó a avanzar, hubo muchas pruebas del uso de wipers en Ucrania", dice. "De nuevo, el miedo a que se extendiera fuera del país. Por suerte, hasta ahora los rusos han utilizado una configuración muy conservadora en sus limpiaparabrisas".

Sin embargo, Flatley dice que la perspectiva de un evento del tipo NotPetya que emane del conflicto actual sigue siendo muy real. "Es interesante que los rusos estén siendo un poco más cuidadosos esta vez con sus ciberataques, pero eso solo está limitado por su deseo de ser cuidadosos. La tecnología sigue estando ahí para que puedan cambiar fácilmente la configuración y dar rienda suelta a la situación si quisieran".



TE PUEDE INTERESAR...

Webinar Ondemand

Revistas Digitales

DealerWorld Digital

IDG Research

Registro:

Eventos:

 

Partnerzones