Tan solo unas semanas después de que WannaCry afectase a 150 países, otro ciberataque global vuelve a encender todas las alarmas. Recientes investigaciones apuntan a que el virus fue diseñado para parecer un ransomware, pero en realidad se trata de un ataque malware wiper porque el daño que produce es irreversible y la recuperación de los datos cifrados es técnicamente imposible. Además, aunque en un principio se hizo referencia a este ataque como “Petya”, desde KarsperskyLab han señalado que podría no ser una variación de Petya, sino una nueva cepa que no se ha visto antes, lo que ha hecho que se empiece a denominar NotPetya.

Este ataque se aprovecha de la misma vulnerabilidad de la que se aprovechó WannaCry conocida como EternalBlue. Uno de los vectores de infección parece haber comenzado por la descarga de un virus que aparenta ser un currículum alojado en Dropbox.

Un total de 64 países se han visto afectados, entre los que se encuentra Ucrania, EE. UU, España, Rusia, Reino Unido, Alemania, Francia, Italia, Polonia. Entre las empresas víctimas está la agencia de publicidad británica WPP, la compañía eléctrica estatal de Ucrania, el aeropuerto de Kiev, el mayor productor de petróleo de Rusia (Rosneft), el fabricante de alimentos español Mondelez e incluso la central nuclear de Chernóbil.

El motivo

El motivo de la infección ha sido el mismo que en el caso de WannaCry: la falta de una actualización. Los parches de seguridad que se tendrían que aplicar son, por tanto, los mismos y llevaban publicados cinco meses. Como ya apuntamos en ELPLURAL.COM, uno de los consejos más importantes para evitar un ataque es mantener los equipos y servidores actualizados. De hecho, aquellas empresas que hubieran aplicado los parches después de WannaCry no se hubieran visto afectadas por este nuevo ataque. Algo que causa verdadera preocupación entre los expertos quienes consideran incomprensible que un administrador de sistemas no tenga en cuenta los boletines de seguridad de los fabricantes y tarde tres meses en llevar a cabo actualizaciones, más aún después de los efectos y la cobertura mediática que obtuvo WannaCry desde el cual, hasta la fecha, ya ha pasado otro mes y medio.

Si bien es cierto que muchas firmas no llevaron a cabo esas actualizaciones de manera inmediata porque WannaCry fue detenido rápidamente y para algunos sectores paralizar y actualizar todos sus sistemas supone un verdadero problema, sigue resultando inexcusable que una vulnerabilidad de tal alcance se haya ignorado durante tanto tiempo, algo que sólo puede ser explicado por dejadez, desconocimiento o falta de tiempo.

No solo los administradores de sistemas, también nosotros como usuarios individuales debemos ser conscientes de que cada vez que dejamos pendiente una actualización, nos exponemos a que un cibercriminal acceda a nuestra información personal o espíe nuestra actividad mientras navegamos.

Un ataque que levanta sospechas

Aunque el mecanismo de propagación y la vulnerabilidad que explota son idénticos a WannaCry, el modo en el que se pide el rescate no es el mismo. Por un lado, la nota de rescate incluye la misma dirección de Bitcoin para cada víctima cuando la mayoría de ataques ransomware crean una dirección de pago personalizada para cada una; por otro, este ataque insta a las víctimas a comunicarse a través de una dirección de correo electrónico bloqueada mientras que normalmente los cibercriminales exigen realizar el pago a través de Tor (una red que proporciona anonimato). Petya pedía un rescate de 300 euros en bitcoins para recuperar la información secuestrada.

Mensaje que apareció en la pantalla de los dispositivos infectados: "Si ves este texto, tus archivos ya no están accesibles, porque han sido cifrados. Tal vez estés ocupado buscando una forma de recuperar tus archivos, pero no malgastes tu tiempo. Nadie puede recuperar tus archivos sin nuestro servicio de descifrado".

Imagen de un supermercado en Ucrania afectado por el ataque del virus informático Petya.

Sin embargo, Petya no fue diseñado con la intención de restaurar los datos de las víctimas en absoluto. De hecho, en este caso ninguna empresa ha logrado recuperar la información secuestrada (haya pagado el rescate o no). Ésta es otra de las diferencias clave: si WannaCry cifraba archivos de forma masiva en el sistema operativo para pedir un rescate a cambio y conseguir dinero (funcionamiento típico de un ataque ransomware), Petya cifra el sector de arranque del disco duro por lo que el sistema operativo queda inservible y es imposible recuperar los datos.

De hecho, los pagos realizados en el ataque Petya no llegan a 10.000 dólares, lo que también pone de manifiesto que, a diferencia de WannaCry, la finalidad de Petya no fue financiera sino meramente destructiva.

Esto levantó sospechas entre los expertos: ¿Es Petya una prueba de algo más grave que está por venir? Nicholas Weaver, investigador de seguridad en el Instituto Internacional de Ciencias de la Computación y profesor de UC Berkeley, declaraba: "Estoy dispuesto a decir con bastante confianza que se trata de un ataque deliberado, malicioso, destructivo o quizás una prueba disfrazada de ransomware. La infraestructura de pago de Petya es un teatro fecal".Teoría que ya han confirmado varias investigaciones.  La pregunta ahora es ¿por qué los ciberdelincuentes se han tomado las molestias de disfrazarlo? ¿Se trata simplemente de delincuentes inexpertos que han tenido acceso a herramientas que les vienen muy grandes? ¿O hay intenciones más ambiciosas en marcha?

¿Será Petya la lección definitiva?

En definitiva, cuando parecía que WannaCry había despertado por fin las conciencias en materia de ciberseguridad llega Petya y pone el dedo en la llaga para demostrar que no hemos aprendido nada. Muchas empresas y usuarios aún subestiman las probabilidades de convertirse en víctimas de un ciberataque. De nuevo, queda en evidencia que la premisa de “esto a mí no me pasará” ya no es válida. Se necesita más concienciación y acción y el momento es ahora. ¿Será ésta la lección definitiva?