Gracias a Petya seguimos hablando de seguridad

Los ataques de ransomware que se han vivido los últimos meses, han puesto de rodillas a muchos gobiernos y a empresas multinacionales, por lo que seguramente será muy difícil olvidarnos de estos ataques. Sin embargo, algunos expertos en seguridad aseguran que vendrán ataques peores.

El rasomware Petya se consideró más poderoso que Wannacry, ya que sus creadores aprendieron de los errores cometidos por éste. Entre los afectados se encuentran más de 2.000 organizaciones que van desde empresas como Maersk, dedicada al transporte y logística de containers, Merck -una compañía médica-, varias cadenas de supermercados, el Gobierno y Bancos de Ucrania.

Luego de dos meses del ataque de ransomware Petya, que comenzó en Ucrania el 27 de junio y se extendió a muchas empresas internacionales, es que se ha podido calcular las posibles pérdidas monetarias de las víctimas.

Actualmente algunas de las organizaciones afectadas han expresado cifras que dejan ver el impacto que causó Petya en ellas.

Según informe A.P. Møller-Mærsk (Maersk Line, APM Terminals y Damco), sus negocios fueron afectados por este ataque y el CEO expresó: “Esperamos que el ataque cibernético tuvo un impacto negativo de 200 a 300 millones de dólares”.

La multinacional francesa fabricante de materiales de construcción y alto rendimiento, Saint-Gobain, también fue afectado por Petya y en su informe expresó: “Se estima que el ataque cibernético tuvo un impacto negativo de €220 millones en ventas y de €65 millones en los ingresos de explotación del primer semestre”.

La multinacional estadounidense de productos de confitería, alimentos y bebidas Mondelez International dijo que sus ingresos netos disminuyeron 5%, derivado del malware (Petya) y los contratiempos monetarios.

La compañía farmacéutica estadounidense Merck & Co. (Merck Sharp & Dohme — MSD) no ha informado una cifra de pérdidas, pero ha dicho que el ataque produjo la interrupción de sus operaciones mundiales, incluyendo operaciones de fabricación, investigación y ventas.

Esto es solo un ejemplo de lo que nos dejó durante esos días el ransomware Petya, al igual que las imágenes que dejaron en evidencia su capacidad de propagación.

El laboratorio de ESET durante esos días, dejó algunas características específicas del ransomware:

  • Cifrado: no solo cifra los archivos con una extensión determinada, sino que además intenta cifrar, generalmente con éxito, el MBR (Master Boot Record), que es el registro principal de arranque.
  • Propagación: tiene la propiedad de un gusano; o sea, puede propagarse a través de diferentes técnicas por la red, logrando infectar nuevos equipos.
  • Exploits: hace uso de ellos para explotar vulnerabilidades en equipos que no han sido actualizados o no se les han instalado los parches correspondientes.

Y para los que pensaron que este ransomware ya se había extinto, hace poco el Banco Central de Ucrania ha advertido de un nuevo ataque similar al que ocurrió con Petya y que podría ser efectivo en los próximos días.

Para finalizar, no está de más repasar algunas recomendaciones que deberíamos tener en cuenta para tratar de evitar este tipo de ataques:

  • Contar con una solución antivirus y tener los sistemas actualizados es imprescindible.
  • Contemplar qué puertos están abiertos en nuestros sistemas y por qué, especialmente los puertos 135, 139, 445 y 1025–1035 TCP, que son los que utilizan WMI y PsExec.
  • Se puede bloquear la ejecución de archivos EXE dentro de % AppData% y % Temp%
  • Deshabilitar las cuentas ADMIN$ por defecto en los sistemas operativos Windows.
  • Deshabilitar SMB versión 1.
  • Contar con doble factor de autenticación para acceder a los sistemas.
  • La red debe estar bien configurada y segmentada.
  • Monitorear constantemente el tráfico para detectar algún tipo de comportamiento fuera de lo normal.
  • Contar con un sistema de backup de la información más relevante y comprobar que funcione.
  • Es primordial llevar una buena gestión de contraseñas, ya que si tan solo una de las máquinas infectadas posee las credenciales de administrador, podría infectar toda la red.

Las amenazas no las podemos eliminar, pero sí podemos estar preparados para enfrentarlas.