Petya y NotPetya son variedades de ransomware que afectaron a organizaciones de todo el mundo entre 2016 y 2017. Mientras que Petya causó importantes daños en 2016, una variante similar llamada NotPetya surgió en 2017. Aunque muchos analistas de seguridad la consideraban la sucesora de Petya, la nueva variedad mostraba claros avances que la diferenciaban. Como resultado, recibió el nombre de NotPetya.
Ambas variedades de ransomware se dirigen principalmente a dispositivos Windows, cifran los archivos y exigen un rescate en bitcoins. Mientras que la mayoría de los tipos de ransomware cifran archivos críticos del sistema, Petya y NotPetya cifran todo el disco duro. Esto supuso un avance significativo en la evolución del ransomware, haciendo que estas variedades sean aún más peligrosas.
Cómo funciona el ransomware Petya
Normalmente, el ransomware Petya obtiene acceso inicial a una red a través de un correo electrónico de phishing que contiene un archivo adjunto malicioso. En la mayoría de los casos, los correos electrónicos de phishing llegan a las bandejas de entrada de las víctimas, haciéndose pasar por solicitudes de empleo con archivos PDF ejecutables adjuntos disfrazados de currículos. Una vez que el usuario hace clic en un PDF, aparece una ventana emergente de control de cuentas de usuario de Windows que advierte de que la ejecución del archivo podría realizar cambios en el equipo. Si el usuario procede sin sospechas, se ejecuta la carga útil. Una vez ejecutado, se producen las siguientes consecuencias:
- La carga útil afecta principalmente al registro de arranque maestro (MBR) del sistema, un archivo almacenado en el disco duro que es necesario para cargar el sistema operativo.
- Cifra la tabla maestra de archivos (MFT), un archivo clave del sistema dentro del sistema de archivos de nueva tecnología de Windows (NTFS) que contiene detalles sobre los archivos del volumen NTFS. Esto incluye metadatos como el autor del archivo, las fechas de creación y modificación, el tamaño y la ubicación, que son cruciales para la recuperación del archivo.
- El equipo muestra una falsa pantalla de comprobación de disco (chkdsk) simulando un análisis del disco duro mientras los procesos anteriores tienen lugar en segundo plano.
- Una vez que el disco duro queda inaccesible, Petya muestra una nota de rescate en la pantalla, exigiendo un rescate en bitcoins a cambio de restaurar el acceso al disco duro.
Por lo tanto, en lugar de cifrar directamente los archivos, Petya se dirige a una parte del sistema de archivos que permite al equipo acceder a ellos y recuperarlos. Mientras los archivos permanezcan sin cifrar, el equipo no podrá acceder a ellos. Sin embargo, Petya requiere privilegios administrativos para llevar a cabo este método de ejecución.
Cuando Petya es incapaz de adquirir privilegios administrativos, lanza una carga útil secundaria llamada Mischa para ejecutar el ataque. Mischa es una carga útil de cifrado de archivos que cifra otros archivos del sistema excepto el MBR y el MFT. En este caso, Petya opera como cualquier otro ransomware.
Cómo funciona NotPetya
Mientras que Petya obtiene el acceso inicial como la mayoría de las demás variedades de ransomware, NotPetya entra en una red aprovechando una vulnerabilidad en el protocolo SMB de Windows. Para ello, NotPetya aprovecha un exploit llamado EternalBlue, una herramienta legítima que fue desarrollada por la Agencia de Seguridad Nacional de Estados Unidos y que posteriormente fue filtrada y utilizada por grupos de ransomware como WannaCry. NotPetya obtiene credenciales utilizando herramientas como Mimikatz para escalar privilegios y obtener acceso a nivel de administrador. Luego, NotPetya utiliza herramientas de línea de comandos como PsExec y WMIC para iniciar sesión de forma remota en otros equipos de la red y propagar la infección.
En lo que respecta al cifrado, NotPetya lo cifra todo, desde archivos críticos como el MBR hasta archivos de texto comunes. No solo hace inaccesible el disco duro, sino que bloquea todo el sistema de archivos. A continuación, muestra una nota con una petición de rescate.
NotPetya: un ransomware disfrazado
Petya y NotPetya difieren significativamente en su ejecución y funcionamiento. Además, NotPetya, a diferencia de la mayoría de los ransomware, no cobra rescates a las víctimas a cambio de sus archivos. Se disfraza de ransomware con una falsa nota de rescate que induce a las víctimas a creer que pueden descifrar sus archivos pagando el rescate. Sin embargo, las víctimas pronto se dan cuenta de que el monedero Bitcoin proporcionado es solo un número aleatorio, y no hay forma de pagar el rescate o recuperar sus archivos.
Esto significa que los archivos afectados por NotPetya no solo están cifrados, sino que se han perdido de forma permanente y son irrecuperables. Esto distingue a NotPetya no solo de Petya sino también de otras familias de ransomware, convirtiéndolo en una de las formas de ransomware más distintas y destructivas de la historia.
Cómo protegerse contra los ransomware Petya y NotPetya
Mediante la implementación de las siguientes mejores prácticas, las organizaciones pueden reducir significativamente los riesgos de un ataque Petya o NotPetya.
Filtrado del correo electrónico
Los correos electrónicos de phishing son vectores comunes de ransomware que llevan URL maliciosas, archivos adjuntos y ejecutables. Implemente herramientas de filtrado de correo electrónico para marcar los mensajes con contenido sospechoso y evitar que lleguen a su bandeja de entrada.
Gestión de accesos e identidades
Mejore la seguridad implementando la autenticación multifactor en todas las cuentas de usuario, accesos VPN y servicios de aplicaciones. Esta capa adicional de verificación garantiza que incluso si un atacante consigue acceder a las credenciales de inicio de sesión, seguirá sin poder acceder a los sistemas sensibles.
Pruebas de vulnerabilidad y aplicación de parches
Realice análisis periódicos de vulnerabilidad en todos los dispositivos, software y aplicaciones de la red. Identifique y parchee cualquier fallo de seguridad que pudiera ser aprovechado por el ransomware.
Evaluaciones exhaustivas de los riesgos
Realice evaluaciones periódicas de los riesgos para valorar la postura de seguridad de todos los sistemas y usuarios de la red. La estimación de las puntuaciones de riesgo de usuarios y entidades le ayudará a identificar posibles vulnerabilidades y a detectar comportamientos sospechosos antes de que escalen a un ataque masivo.
Copias de seguridad y cifrado de datos
Realice regularmente copias de seguridad de los datos críticos y garantice que tanto los archivos originales como sus copias de seguridad estén cifrados para protegerlos de accesos no autorizados. Una sólida estrategia de copias de seguridad permite una recuperación más rápida en caso de ataque y minimiza el impacto de las infecciones por ransomware.
Educación y concienciación de los empleados
La primera línea de defensa comienza con la educación de los empleados. Eduque regularmente a los empleados sobre los peligros del ransomware y el rol crítico que desempeñan para detenerlo. Proporcione capacitación sobre cómo identificar correos electrónicos de phishing, procesos sospechosos y archivos ejecutables maliciosos.
Soluciones relacionadas
ManageEngine Log360 es una solución SIEM integral con funciones avanzadas de detección y mitigación de ransomware. Log360 destaca como una de las mejores soluciones de protección contra ransomware gracias a estas potentes funciones:
- Visibilidad de la red de 360 grados: Log360 proporciona una visibilidad completa de su red a través de informes de auditoría out-of-the-box y dashboards interactivos en una única consola.
- Ransomware detection: Predefined correlation rules and alert profiles for ransomware detection help you identify potential ransomware activities in real time.
- Detección de ransomware: Las reglas de correlación predefinidas y los perfiles de alerta para la detección de ransomware le ayudan a identificar posibles actividades de ransomware en tiempo real.
- Análisis del comportamiento de usuarios y entidades: Con sus funciones de monitoreo de comportamiento basadas en ML, Log360 detecta actividades anómalas en la red para identificar señales potenciales de un ataque de ransomware.
- Monitoreo de archivos: La función de monitoreo de la integridad de los archivos de Log360 monitorea los accesos, creaciones, eliminaciones y modificaciones no autorizadas de archivos para proteger los datos confidenciales del ransomware.
- Seguridad de aplicaciones en la nube: Las funciones CASB de Log360 bloquean los sitios web sospechosos y prohíben las aplicaciones maliciosas para proteger los datos confidenciales de la nube frente a las amenazas de ransomware.
- Respuesta ante incidentes de ransomware: Los perfiles de alerta de detección de ransomware incluyen flujos de trabajo integrados de respuesta a incidentes que, cuando se activan, evitan la propagación de los ataques de ransomware.
Para obtener más información, inscríbase en una demostración personalizada de Log360. O bien, puede descubrir sus potentes funciones con una prueba gratuita de 30 días totalmente funcional.