Los expertos muestran su sorpresa por estos últimos ataques que no intentan robar y vender información pasando inadvertidos.
El virus
Petya, que ayer afectó a grandes empresas de todo el mundo es
más peligroso y sofisticado que WannaCry, aunque se base en el mismo principio
de propagación masiva a través de las redes locales. "Pese a que todavía
no sepamos con certeza cuál es el primer equipo infectado y cómo se infectó,
sabemos que este
nuevo malware usa la vulnerabilidad EternalBlue junto
a lo que llamamos en ciberseguridad movimientos laterales", dice Sergio de
los Santos, director de innovación y laboratorio en Eleven Paths, unidad
especializada en ciberseguridad de Telefónica, a EL PAÍS. "Ahora no sólo
busca equipos vulnerables, también emplea herramientas de administración para
infectar a todos los equipos de una red si, por suerte, encuentra previamente
una máquina con dichos privilegios".
No hemos aprendido pese al tirón de orejas
"Nos habíamos olvidado ya de
los gusanos y los ataques informáticos siempre han estado enfocados a atacar a
alguien de forma sigilosa a través de infecciones por email en los últimos años" señala De los
Santos. "Pero no hemos aprendido pese al tirón de orejas".
El experto de seguridad de
ElevenPaths señala que, no obstante, la parte importante del virus es su virtud
de gusano. Y lo más sorprende, ya que al igual que en el WannaCry, no se puede
determinar un motivo claro. Si hubiese ánimo de lucro detrás del ciberataque,
robar y vender información pasando inadvertido sería mucho más rentable.
"Hacer tanto ruido no tiene sentido cuando se quiere obtener un fin, es
muy extraño", recalca.
No es una
réplica de WannaCry
Es un ciberataque mejor diseñado,
menos amateur y que cuenta con estos movimientos
laterales como principal novedad, "pero Petya no es un nuevo WannaCry sin
interruptor de la muerte", ha aclarado el joven conocido por MalwareTech que
logró parar el virus con un dominio de 10 dólares hace un mes.
"Es un malware común que no se
propaga entre diferentes redes".
WannaCry se extendió empleando
exclusivamente la vulnerabilidad en el protocolo de red de algunas versiones de
Windows que almacenaba la Agencia Nacional de Seguridad de Estados Unidos y que
filtró el grupo Shadow Brokers. No hay evidencias
de una propagación entre redes ahora, pero la infección inicial fue mayor.
"Petya se propagó posiblemente
entre millones de ordenadores al comprometer el popular software ucraniano
MeDoc, usando sus actualizaciones para instalar el virus", dice
MalwareTech en su blog.
"Este vector inicial no está confirmado, incluso la compañía lo
ha negado, pero hay evidencias que sostienen este punto".
Microsoft ha confirmado en su blog técnico que
MeDoc ha sido uno de los vectores iniciales de infección a través de su sistema
de actualización.
Teóricamente, aunque su
propagación esté limitada a las redes locales, el héroe contra el WannaCry
señala que teóricamente es posible que escape a otras redes si la máquina
infectada tiene una dirección IP pública y tiene mal configurada la submáscara
de red. Es difícil que se dé el caso, pero posible si se habla de un gran
número de infectados.
x
No hay comentarios:
Publicar un comentario