Conoce Nyetya, la evolución más agresiva del ransomware Petya

imagen nyetya
Nyetya es la evolución de Petya, un peligroso ransomware.
imagen nyetya
Nyetya es la evolución de Petya, un peligroso ransomware que atacó varios sistemas operativos.

Los ciberdelincuentes no se detienen en la búsqueda de víctimas. Un ejemplo es el ransomware Petya que apareció después del mundialmente reconocido WannaCry. Su daño llegó a grandes empresas, y una vez más, nació en Ucrania, donde se conocieron los primeros casos de ataque. Ahora, Petya entró en su segunda fase de evolución llamada Nyetya, un ransomware de carácter especial considerado más peligroso.

El término ransomware, según Avast, es una técnica para cifrar la información de las empresas para luego pedir dinero para su rescate. Eso ya lo evidenciamos con WannaCry, pero así como Petya evolucionó a Nyetya, el término también lo está haciendo. ENTER.CO habló con Jorge Imues, director de operaciones de A3SEC, quien explicó que Nyetya es un ransomware que no cobra dinero por el rescate, ya que su fin es dejar completamente por fuera de operación los discos duros de los dispositivos que ataca.

ENTER.CO: ¿Cómo evolucionó el ransomware Petya a Nyetya?

Jorge Imues: «Nyetya es un ransomware que tiene un comportamiento más agresivo que sus antecesores. Este hace un cifrado de la información del disco duro por completo sin la posibilidad de que el usuario pueda pagar para recuperar la información. Con respecto a los ransomware anteriores como WannaCry, había un fin económico detrás del ataque.»

¿Cómo se propaga?

JI: «Lo hace, hasta el momento, únicamente por medio de una aplicación contable que utilizan en Ucrania llamada MeDoc. De acuerdo con este comportamiento, podemos pensar que Nyetya está siendo utilizado con un fin político de sabotaje y no como un medio para recaudar dinero. Un ransomware como tal tiene un fin y es el cifrado de la información y hay un lucro económico, pero el fin sigue siendo el mismo. De hecho, le hacen creer al usuario que pueden pagar a través de bitcoins, pero realmente no existen las cuentas para destinar el dinero.»

¿Cómo se infectan los equipos?

JI: «Hay una propagación que se hace a través de campañas de correo electrónico. La aplicación MeDoc la utilizan muchas entidades en Ucrania para hacer su contabilidad. Lo que hacen los ciberdelincuentes es propagar una supuesta actualización de esa aplicación, la cual es descargada y ejecutada por los usuarios en los equipos.»

¿Cuáles son los sistemas operativos vulnerables?

JI: «Primero están los usuarios de Windows XP, Windows 2003, Windows 2008, Windows Vista (SP2, X64 edition service pack 2). Luego los de Windows Server 2008 (32-bit systems service pack 2, x64 systems service pack 2). Les siguen Windows 7 (32-bit systems service pack 1, x64 systems service pack 1); Windows Server R2 (x64 systems service pack 1, itanium systems service pack 1). Y aunque son más recientes están los usuarios de Windows 8.1 (32-bit systems, x64 systems); Windows RT 8.1. Y finalmente Windows Server 2012 y R2; Windows 10; Windows Server 2016 y Microsoft Office 2010 service pack 2 (32-bit y 64-bit).»

¿América Latina corre algún riesgo?

JI: «Los ataques con Nyetya son bastante focalizados. A nivel de América Latina no manejamos con aplicaciones como MeDoc, entonces es poco probable que se propague por ese medio. Sin embargo, no estamos exentos, ya que lo pueden hacer por medio de otra aplicación que pueda afectar los diferentes sectores.»

¿Porqué Windows sigue siendo el más afectado?

JI: «Windows sigue siendo el foco de ataque porque se sigue explotando las mismas vulnerabilidades que en el caso de WannaCry: MS17-010 y una nueva CVE-2017-0199. Esa segunda y nueva vulnerabilidad, permite que el atacante pueda tomar las credenciales de autenticación del sistema para robarlas antes de hacer el cifrado de la información. Esto es muy semejante a un caso de espionaje.»

¿Qué medidas de seguridad se deben aplicar?

JI: «La principal es mantener actualizado el sistema operativo Windows. Es importante que las organizaciones le den prioridad en la gestión de parches MS17-010. Y también aprovechar que actualicen la vulnerabilidad del CVE-2017-0199. Ya a nivel corporativo se puede configurar el sistema, específicamente la que se realiza por la ruta C:\Windows\perfect.dat que es un archivo en modo lectura. Lo que hace es convertirse en un botón de apagado el malware. Si lo tengo en mi sistema antes de infectarme, voy a poder frenar el ataque.»

Imagen: iStock.

Sergio Ospina

Sergio Ospina

"Ser periodista es ver pasar la historia con boleto de primera fila", frase de Diego Petersen Farah, es la que define mi pasado y presente en el mundo del periodismo. Amo la fotografía, la redacción y toda forma de embellecer la realidad. Y aunque ya cuento con experiencia, ENTER.CO es la oportunidad de aprender y ser un mejor profesional.

View all posts

Archivos