De Wannacry a Petya: cómo un 'ransomware' ha paralizado (otra vez) el mundo

Ha puesto a gobiernos y multinacionales de rodillas y los expertos aseguran que esto no es nada. Vendrán cosas peores. Pero de momento tenemos suficiente con Petya, conocido también como NotPetya porque algunos especialistas no tienen aún muy claro contra qué bicho nos estamos jugando los cuartos. Es en todo caso, el ataque de 'ransomware' más virulento que ha vivido el planeta y, sin ninguna duda, obra de auténticos profesionales.

"Este 'ransomware' es bastante más grave que Wannacry", aseguraba a Teknautas Fernando Díaz, analista de malware de la empresa Hispasec, nada más conocerse el ataque. A lo largo del día de ayer esta impresión sería compartida por todos los expertos que han tenido contacto con esta máquina de tumbar redes a gran velocidad: "5.000 sistemas caídos en menos de 10 minutos", según Dave Kennedy.

Parar el avance de Petya, el gusano-ransomware más destructivo conocido hasta el momento, era el principal reto de expertos de todo el mundo, a la hora de escribir estas líneas. De momento sin mucha suerte. Desenchufar el equipo de la corriente justo cuando se está apagando o crear un archivo con el nombre perfc.dll, en algunos casos puede prevenir infecciones, pero de momento no parece ser la panacea definitiva.

¿Cómo se coló el virus en las empresas?

Ayer el temible Wannacry que sufrieron empresas de Europa y Asia el pasado mayo pasó a ser una simple prueba de concepto de lo que acababa de llegar: Petya, un virus totalmente profesional, bien diseñado en su código y forma de atacar y dedicado expresamente a hacer el mal. Petya se parece a Wannacry en que es un virus ransomware que viaja encapsulado dentro de un gusano informático, el cual se cuela por una vulnerabildad del protocolo de compartición de archivos SMBv1, presente en la mayoría de sistemas Windows, usando para ello el 'exploit' o programa malicioso EternalBlue, que el grupo de hackers ShadowBrokers robó a la NSA.

Hasta aquí los parecidos porque Petya es mucho más complejo y puede entrar de otras maneras en una organización: mandar emails de 'phishing' con documentos de Escel (.xls) adjuntos infectados. Una vez ha penetrado en un ordenador, intenta adentrarse en la red corporativa (lo que se llama hacer "movimientos laterales"), buscando ordenadores en los que funcione el exploit EternalBlue.

Si esto no funciona, tiene aún recursos para saltar de máquina en máquina, dentro de la red corporativa, como buscar credenciales en el ordenador atacado y probarlas en otros, por si alguien usó la misma contraseña en dos sitios y consigue el acceso. Esto lo realiza usando usa herramientas comunes de Windows que le sirven también para buscar otros agujeros y colarse, siempre dentro de la red corporativa.

"Una vez ha infectado el equipo de la víctima emplea varias técnicas para infectar otras máquinas dentro de la misma red, una es EternalBlue pero también Psexec, una utilidad para Windows que permite ejecutar comandos en máquinas de la misma red que tienen abierto el puerto 445 o 139", confirma el experto en seguridad informática Jorge SoydelBierzo. Así, explica, "si las máquinas de tu red tienen parcheado lo de EternalBlue pero no muy bien configurados esos puertos, Psexec puede ejecutar lo que quiera en ellas". Lo mismo para otra heramienta llamada WMI.

Cuando infecta, no tiene piedad. Espera entre 10 minutos y una hora para reiniciarse de forma automática. Tras el reinicio, está todo cifrado

Pero estas no son las únicas tretas de Petya para asaltar las redes corporativas. Según la policía de Ucrania, el hecho de que aquel país haya sido el más afectado por Petya se debe a que allí no entró en los ordenadores vía 'phishing' sino que infectó una empresa que provee de software al gobierno y las principales empresas. Todos los programas que se descargaron de esta empresa estarían infectados, aunque la misma lo habría negado en un documento en Facebook del que aún no está clara la veracidad.

En cuanto a versiones de Windows afectadas, no está aún muy claro pero como mínimo serían las mismas a las que afectaba Wannacry, que según Josep Albors, Jefe de Concienciación e Investigación de ESET, son "Windows 7, 2000, XP... casi todas excepto Windows 10". Petya infecta menos archivos que Wannacry, pero son los más importantes para una corporación: archivos de Office, comprimidos, pdf, máquinas virtuales, copias de seguridad, código fuente y ficheros de bases de datos.

Y, cuando infecta, no tiene piedad. Espera entre 10 minutos y una hora para reiniciarse automáticamente. Tras el reinicio, está todo cifrado, incluído el Registro de Arranque Maestro, lo que significa "game over": el ordenador quedará totalmente inservible, será imposible acceder al sistema operativo hasta que alguien consiga la clave de descifrado.

El origen del 'ransomware' Petya

Aunque no está seguro de que estemos ante un 'ransomware' de la familia Petya, la mayoría de expertos coinciden en que "se non è vero, è ben trovato". A Petya se le conoce por primera vez a finales de 2015 y es obra del grupo de ciberdelincuentes Janus Cybercrime Solutions, que hasta diciembre de 2016 estuvieron activos en una cuenta en Twitter, @JanusSecretary, que hoy sigue abierta pero al parecer está abandonada.

Según el experto en malware Mikko Hypponen, "más adelante cambiaron a un modelo de franquicia y ofrecieron sus servicios en Tor Hidden Service". Esto significa que ofrecieron el ransomware como un servicio, poniéndolo a la venta. Se vio a Petya atacar por primera vez en marzo de 2016 en Alemania y siempre sintió predilección por atacar países del Este.

Ahora lo vemos mejorado, usando como vehículo un gusano, armado con un 'exploit' de la NSA y con una precisión de francotirador

Cabe decir que Petya nació con mala suerte, pues por un fallo en su código de cifrado se consiguió descubrir pronto su clave de descifrado. Meses despues lo arreglaron y volvió a reaparecer. Ahora lo vemos aún más mejorado, usando como vehículo un gusano, armado con un exploit de la NSA, para entrar en miles de ordenadores con una precisión de francotirador.

"En las primeras 24 horas vimos 16 muestras distintas", confirma Fernando Díaz. El gusano-ransomware muta continuamente, sin cambiar prácticamente su código, para que no se le pueda bloquear ni detectar vía antivirus. Cuando se le vio por primera vez, solo dos antivirus jóvenes lo detectaban, asegura Bernardo Quintero, de VirusTotal. "Una de las muestras llegó a las 2017-06-27 10:06:22, poca cobertura de antivirus, solo un par de next-gens la detectaban a esa hora".

Estamos ante un ataque "muy bien montado", dice Fernando Díaz. Una copia de Wannacry o, quizás, el gusano-ransomware que estaban armando hace unas semanas y que se les escapó. O no. En todo caso, otra vez el ataque falla por la parte económica, igual que Wannacry. La dirección de correo que servía para negociar con los atacantes y que, vía Google Trends, sitúa el primer ataque en Kiev, ha sido bloqueada por el servicio gratuito en la que se creó (wowsmith123456@posteo.net). Sin contacto con los criminales, no hay negociación posible para pagar los bitcoins, 300 por máquina, requeridos. Pero, si el dinero no mueve a los creadores de Petya, ¿cuál es su verdadero objetivo? Solo queda esperar al próximo ataque.