ESET expone un análisis sobre el nuevo ataque de ransomware que se inició en Ucrania y cifró información de máquinas de todo el mundo, afectando compañías de distintas industrias como bancos, red eléctrica y empresas postales, entre otras.
Camilo Gutierrez, jefe del Laboratorio para Latinoamérica, afirma: ‘El día martes un nuevo ataque de ransomware dejó en evidencia que sigue habiendo sistemas desactualizados, falta de soluciones de seguridad y de planes necesarios para evitar una infección. Los ataques continúan creciendo y evolucionando, por lo que seguimos apostando a que la prevención y la concientización son claves para evitar ser víctimas’.
En primer lugar, la empresa indica que hay tres aspectos centrales que distinguen a esta amenaza: no solo cifra los archivos con una extensión determinada, sino que además intenta cifrar, generalmente con éxito, el MBR (Master Boot Record), registro principal de arranque; tiene la propiedad de un gusano, es decir, puede propagarse a través de diferentes técnicas por la red logrando infectar nuevos equipos; y hace uso de los exploits para explotar vulnerabilidades en equipos que no han sido actualizados o poseen los parches correspondientes.
Además, el ransomware tiene el mismo impacto que WannaCryptor, pero este nuevo ataque no sólo cifra la información que se encuentra en los equipos, sino que, luego de que se reinicia el sistema, deja inutilizable al sistema operativo, por lo que las víctimas se ven obligadas a realizar una reinstalación.
En este sentido, el funcionamiento del malware radica en crea una tarea programada con el fin de reiniciar el equipo en un determinado tiempo, que no suele ser más de sesenta minutos. Además, verifica si existen carpetas o discos compartidos para propagarse. A continuación, comienza a cifrar archivos que contengan una determinada extensión, cambiar o agregar una extensión particular luego de cifrar cada uno, técnica muy utilizada por los atacantes para distinguir a los archivos infectados.
Por último, el malware intentará eliminar los registros de eventos para no dejar rastro alguno, como también ocultar sus acciones. Y una vez finalizada la infección, los atacantes solicitan un pago en bitcoins, en este caso equivalente a 300 dólares.
En cuanto a su propagación, una vez que logra infectar un equipo, intenta extraer las credenciales del usuario para luego usarlas con PsExec y WMIC, para realizar una búsqueda de carpetas y discos compartidos y así difundirse por la red a la cual el equipo esté conectado. De esta manera, logra infectar equipos situados en distintos países y regiones como Latinoamérica, donde afectó a equipos de empresas multinacionales conectados en red con los de otras filiales en Europa o Asia.
En este marco, y al estar en uso varias técnicas en cuanto a exploits, propagación, y cifrado, así como para evadir medidas de seguridad, no es posible asegurar cuántas son las personas involucradas en el desarrollo de un ataque de tal magnitud.
La firma señala que tanto en hogares como en empresas, contar con una solución antivirus es imprescindible, y debe estar correctamente configurada, contemplando qué puertos están abiertos y por qué. También la red debe estar configurada y segmentada correctamente, mientras se monitorea constantemente el tráfico para detectar algún tipo de comportamiento fuera de lo normal. Así, es esencial realizar un estudio detallado de la información más relevante y hacer backup de la misma.
Por otro lado, las contraseñas necesitan una buena gestión, ya que si tan solo una de las máquinas infectadas posee las credenciales de administrador, podría infectar toda la red.
Finalmente, en el caso de estar infectado, se pueden utilizar técnicas forenses para intentar correr en memoria otro sistema operativo y de esta forma acceder a los archivos cifrados. Sin embargo, no hay mucho que se pueda hacer más que aplicar el backup, lo cual sería crucial para evitar la reinstalación del sistema operativo. En cualquier caso, la empresa recomienda no pagar el rescate.
