Sí. Era de esperar. Era cuestión de tiempo que volviera a pasar algo parecido a lo del WannaCry. Quizá menos espectacular. Quizá más efectivo. Quizá...
Hoy vuelve a aparecer la palabra "ransomware" en los medios de comunicación. Un ataque masivo, dicen, que ha afectado a un buen número de organizaciones, sobre todo en Europa y, de forma especial, en Ucrania. Que yo haya visto por ahí, hasta ahora han tenido problemas empresas como la publicitaria británica WPP, las transportistas TNT-Express y Maersk, la farmaceútica norteamericana Merk, la aeronaútica Antonov, los bancos Oschadbank y Privatbank de Ucrania y la red eléctrica de este país, el metro de Kiev, la petrolera Rosneft o el sistema de detección de radiaciones de lo que queda de la central nuclear de Chernobyl. Y una empresa de hospitales norteamericana, Heritage Valley Health System, y el grupo español Mondelez (propietario de Toblerone, Milka, Tang y Oreo)
La cobertura de la noticia es de lo más variado:
https://www.thestreet.com/story/14199347/1/victims-of-the-latest-cyberattack.html?puc=CNNMONEY&cm_ven=CNNMONEY
http://money.cnn.com/2017/06/27/technology/hacking-petya-europe-ukraine-wpp-rosneft/index.html
http://www.bbc.com/news/technology-40416611
http://internacional.elpais.com/internacional/2017/06/27/actualidad/1498568187_011218.html
http://www.elmundo.es/tecnologia/2017/06/27/595269e0ca4741fb3f8b4668.html
Y por poner algo más técnico, los de Kaspersky van actualizando la información que van obteniendo en:
https://blog.kaspersky.es/new-ransomware-epidemics/13581/
https://blog.kaspersky.com/new-ransomware-epidemics/17314/
Todavía se sabe poco sobre este nuevo malware. En realidad, ni siquiera se sabe cuán nuevo es. Se discute si es una variante de Petya. De hecho, Kaspersky le ha llamado "NotPetya".
Y, por supuesto, no se pierde la ocasión de compararlo con WannaCry. Se ha dicho que llega a través de mensajes de correo que llevan un enlace a un fichero malicioso y que también utiliza una variante de EternalBlue para propagarse por las redes locales. Aunque también he leído, entre otros, a Kevin Beaumont que puede estar empleando psexec o WMI (Windows management instrumentation).
En la cuenta de twitter de Dave Kennedy puede encontrarse la información que éste va recopilando. De ahí he sacado unas cuantas ideas:
- Que el malware busca contraseñas en el equipo y trata de utilizarlas para infectar a otros sistemas. Se ha hablado de diversas técnicas para extraer estas credenciales, incluyendo el uso de mimikatz. Y es que eso sólo hay una cosa peor que que todas las cuentas locales de administración de los distintos equipos tengan una misma contraseña: que la compartan también con la del administrador del dominio.
- Que si se bloquea el uso del fichero C:\Windows\perfc.dat para escritura y ejecución, el malware no puede ejecutarse.
Otra forma de propagación de la que se ha hablado es la infección de un servidor de actualizaciones de software. En particular, se ha mencionado a la empresa MeDoc, titular de un programa que promete automatizar los procesos de flujo de trabajo y los informes dentro de un mismo producto. La propia empresa reconoció inicialmente haber sufrido un ataque para después aclarar en su cuenta de Facebook que, a pesar de ello, sus actualizaciones de software no están infectadas (como algunos traductores suelen tener problemas con las páginas servidas sobre HTTPS, mejor que copies el contenido y lo pegues tú en el traductor).
Por cierto que uso el traductor de Bing y no el de Google en el primero de estos dos enlaces. Y la razón es que la traducción que éste último hacía me pareció, a riesgo de equivocarme, que no era muy correcta:
Imagen 1. Cuando no puedas echarle la culpa al mayordomo, para eso está el camarero
También me llamó la atención una fotografía que está acompañando a algunos artículos en los que se cubre esta noticia. En ella aparecen los típicos mensajes que muestra CHKDSK a medida que analiza un volumen de disco. La imagen aparece en uno de los mensajes que publica en su cuenta de Twitter el Vice-Primer Ministro ucraniano, Rozenko Pavlo, acompañando al texto "Та-дам! Секретаріат КМУ по ходу теж "обвалили". Мережа лежить." algo que no he sido capaz de traducir pero que en una página he encontrado en versión inglesa como ""Yes, ladies! The Cabinet of Ministers Secretariat also 'collapsed' along the way. The network lies." (a riesgo de equivocarme, sería"¡Sí, señoras! El Secretariado del Gabinete de Ministros también está colapsado sobre la marcha. La red miente").
Confieso que lo primero que se me vino a la cabeza es "éste ha confundido, le ha saltado en CHKDSK y no ha entendido lo que le salía". Pero resulta que este nuevo malware reinicia el equipo. Quizá de ese modo evite que se puedan extraer de memoria las claves privadas utilizadas para cifrar los ficheros.
Creo que es conveniente repetir aquí algo que leí en la cuenta de Twitter de Dave Kennedy. Quizá salve la información de alguien: Si sale el CHKDSK, apaga el equipo. Si el malware no ha cifrado aún tus ficheros, cosa que sería probable, podrías usar un Live CD para rescatarlos antes de que la cosa vaya a peor. Incluso aplicaría este consejo a quienes vean como su equipo se reinicia sin causa aparente: no lo dejes reiniciar, apágalo y haz una copia de tus datos con el Live CD.
En fin. Que ya veremos como acaba esto. Que, por no saber, no sabemos aún ni cómo empezó (aunque en Ucrania miran de reojo a Rusia).
Y que, inevitablemente, pronto estaremos hablando de otro ataque global de malware.
No hay comentarios:
Publicar un comentario