¿Qué es NotPetya? ¿Sigue activo este malware?
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
NotPetya es un tipo de malware malicioso que se propagó en todo el mundo en junio de 2017. A menudo se lo llama un “ransomware”, pero en realidad fue diseñado para destruir datos en lugar de simplemente secuestrarlos y exigir un rescate.
NotPetya se propagó a través de un exploit de vulnerabilidad en el software de contabilidad de la empresa ucraniana M.E.Doc, que se utilizaba ampliamente en Ucrania. La versión infectada del software de M.E.Doc se distribuyó como una actualización de software legítima, lo que permitió que el malware se propagara a través de las redes de las empresas que lo usaban.
Una vez que se instalaba en una computadora, NotPetya se propagaba rápidamente a través de la red y comenzaba a cifrar los archivos del disco duro del equipo, haciéndolos inaccesibles e inutilizables. Además, NotPetya también se aprovechaba de una vulnerabilidad en el firmware de los discos duros para sobrescribir la tabla de particiones del disco, lo que hacía que el disco fuera esencialmente inutilizable.
El impacto de NotPetya fue enorme, ya que afectó a empresas y organizaciones en todo el mundo causando daños por valor de miles de millones de dólares.
No se sabe con certeza quién es el creador de NotPetya, ya que el malware fue diseñado para ser difícil de rastrear y para ocultar su origen. Algunos expertos en seguridad creen que Rusia podría haber estado involucrada, debido a su historial de ataques cibernéticos y su posible motivación política para llevar a cabo el ataque. Otros han sugerido que podría haber sido llevado a cabo por un grupo de hacktivistas u otro estado-nación con un interés en desestabilizar a Ucrania, donde el ataque tuvo un impacto particularmente devastador.
Sin embargo, después de investigaciones adicionales, algunos expertos en seguridad informática creen que el objetivo principal del ataque fue causar daño y desestabilizar a Ucrania, y que los perpetradores no tenían la intención de recibir un rescate o beneficio financiero. Por lo tanto, algunos especulan que el ataque pudo haber sido llevado a cabo por un grupo de hackers con motivaciones políticas o ideológicas.
NotPetya afectó a muchas organizaciones en todo el mundo, pero especialmente en Ucrania, donde se originó el ataque. Algunas de las organizaciones afectadas incluyen:
M.E.Doc: La empresa ucraniana de software de contabilidad fue el vector de ataque inicial para la propagación del malware.
Bancos y sistemas financieros ucranianos: NotPetya interrumpió las operaciones bancarias en Ucrania y provocó el cierre temporal de cajeros automáticos y sistemas de pago en línea.
Gobierno ucraniano: Las instituciones gubernamentales ucranianas también se vieron afectadas, incluyendo el aeropuerto de Kiev y la central eléctrica de Chernobyl.
Empresas internacionales: NotPetya se propagó rápidamente a través de las redes de empresas internacionales que hacían negocios en Ucrania y en otros lugares, incluyendo a Maersk, FedEx, Merck, Mondelez International, Reckitt Benckiser, Rosneft y WPP.
El impacto financiero de NotPetya fue significativo, con estimaciones de que el ataque causó más de mil millones de dólares en daños. Además del costo financiero, el ataque también tuvo consecuencias operativas y de reputación para las organizaciones afectadas.
NotPetya funciona utilizando varias técnicas para propagarse y causar daño en los sistemas infectados. El malware se disfraza como una actualización de software legítima de M.E.Doc, una empresa ucraniana de software de contabilidad, y se distribuye a través de una actualización falsa del software de M.E.Doc. Una vez que se instala, NotPetya se activa y comienza a propagarse por toda la red infectando otros sistemas.
Una vez que se instala en una computadora, NotPetya utiliza técnicas de cifrado para encriptar los archivos del disco duro, haciéndolos inaccesibles para el usuario. Además, NotPetya también se aprovecha de una vulnerabilidad en el firmware de los discos duros para sobrescribir la tabla de particiones del disco, lo que hace que el disco sea esencialmente inutilizable.
Además de cifrar archivos y dañar el disco duro, NotPetya también utiliza técnicas de infección de memoria para propagarse rápidamente por toda la red, incluso a través de sistemas que no estén directamente conectados. El malware aprovecha una vulnerabilidad en el protocolo SMB de Microsoft para propagarse rápidamente a través de la red y comprometer otros sistemas.
NotPetya también está diseñado para intentar evadir las medidas de seguridad de la computadora infectada, incluyendo los sistemas antivirus y los firewalls. El malware utiliza técnicas avanzadas de evasión de detección para evitar ser detectado y eliminado.
NotPetya es un malware modular que consta de varias partes interconectadas. En general, se puede dividir en tres componentes principales:
El módulo de propagación: Esta es la parte del malware que se encarga de propagarse a otros sistemas. Utiliza una variedad de técnicas de propagación, incluyendo la explotación de vulnerabilidades en el sistema operativo y en el firmware del disco duro, así como el uso de credenciales de administrador robadas.
El módulo de cifrado: Una vez que el malware se ha propagado a un sistema, el módulo de cifrado se activa. Utiliza un algoritmo de cifrado AES-128 para cifrar los archivos en el sistema infectado y reemplaza la tabla de particiones del disco duro con una versión corrupta, lo que hace que el disco sea inaccesible.
El módulo de carga útil: Esta es la parte del malware que se encarga de la comunicación con los servidores de control y comando del atacante y de ejecutar la carga útil del ataque. En el caso de NotPetya, la carga útil era una función que sobrescribía el registro de arranque maestro (MBR) del disco duro, lo que impedía que el sistema operativo se iniciara correctamente.
Además de estos tres componentes principales, NotPetya también utiliza una variedad de técnicas avanzadas para evitar la detección y el análisis, incluyendo la ofuscación de código y la detección de entornos de análisis de malware. NotPetya también utiliza una técnica conocida como “inyección de código en tiempo de ejecución”, que le permite modificar el comportamiento de otros programas que se ejecutan en el sistema infectado.
Cabe señalar que NotPetya sigue siendo peligroso en el sentido de que todavía hay sistemas vulnerables que podrían ser infectados si no se han aplicado las medidas de seguridad adecuadas. Sin embargo, NotPetya en sí mismo no está activo y no representa una amenaza inmediata para los sistemas informáticos.
A pesar de que el ataque original de NotPetya ocurrió en 2017, todavía se considera un ejemplo significativo de un ataque cibernético devastador y altamente efectivo. Es importante aprender de los errores y debilidades que permitieron que NotPetya se propagara tan rápidamente y causara tanto daño, y tomar medidas para evitar que se repita un ataque similar.
Para evitar futuros ataques similares, es importante asegurarse de que los sistemas estén actualizados y parcheados, y de que se apliquen medidas de seguridad sólidas, como firewalls, antivirus y autenticación de dos factores. También es importante estar alerta a los correos electrónicos de phishing y otras técnicas de ingeniería social que pueden ser utilizadas para distribuir malware como NotPetya.
Para más información, visite: https://www.silikn.com/