Como anticipábamos en nuestro reporte de tendencias, 2016 parece ser el año del ransomware. Continuamente surgen nuevas variantes de troyanos como Locky o TeslaCrypt para sacar provecho de usuarios no precavidos. Aún peor, las nuevas versiones de ransomware utilizan algoritmos de cifrado asimétrico para que los archivos no puedan ser descifrados sin la clave correcta, mientras logran ocultar su actividad delictiva a través de TOR y del pago en bitcoins.
En este contexto apareció Petya. Esta amenaza dirigida especialmente a personal de recursos humanos de empresas alemanas continúa causando preocupación entre los usuarios, quienes, de verse afectados, se ven impedidos de iniciar sus ordenadores mientras sus discos duros son cifrados.
¿Cómo se propaga Petya?
Recibir adjuntos de orígenes desconocidos es cotidiano e inevitable para personal de RRHH
Uno de los aspectos verdaderamente interesantes respecto a Petya es que su difusión se da principalmente a través de equipos con Windows presentes en los departamentos de recursos humanos de empresas de Alemania.
El escenario de infección comienza con un correo electrónico de un presunto aspirante, quien se postula para un puesto laboral en una compañía. La propuesta está correctamente escrita, lo cual dificulta que el personal de recursos humanos reconozca la falsedad del mensaje. La supuesta documentación necesaria era compartida a través de Dropbox, lo cual impedía la detección del malware mediante el escaneo de archivos adjuntos. Oportunamente, el nombre de la carpeta era "solicitud de empleo".
El ransomware en sí se escondía en el ejecutable "Bewerbungsmappe-gepackt.exe”, que podríamos traducir como algo similar a “carpeta de la solicitud-empaquetada.exe”, camuflado con un icono de un programa de empaquetado ampliamente conocido.
¿Cómo funciona?
En un comienzo, Petya cifra el Master Boot Record (MBR) con una simple función XOR con un valor prestablecido. En esta etapa, salvaguardar los datos es aún posible, pero para ello se debiese estar al tanto de la infección al momento exacto en que esta ocurre. También, algunos usuarios informaron que fueron capaces de reparar el MBR usando la herramienta de recuperación de Windows.
Las personas delegan la seguridad a los componentes informáticos
En la segunda fase, el ransomware despliega una BSoD (Blue Screen of Death) que obliga al usuario a reiniciar el equipo. La próxima vez que se ejecuta, el malware realiza una simulación de "comprobación de disco" (chkdsk) mientras cifra gran parte del sistema de archivos. A partir de este momento, las particiones en el disco ya no pueden ser accedidas.
Sin embargo, el cifrado parece no afectar al volumen de manera completa. Con un editor hexadecimal aún podrán leerse ciertas partes y, probablemente, aún puedan recuperarse los datos con la ayuda de herramientas forenses.
¡Buenas noticias para las víctimas de Petya!
Dropbox ha conseguido eliminar los archivos infecciosos con Petya de su sistema. Además, un usuario con el pseudónimo leostone aparentemente es capaz de romper el cifrado de Petya. Una herramienta gratuita genera en pocos segundos una clave con la cual los archivos cifrados pueden ser recuperados. La herramienta puede encontrarse en GitHub.
Para comenzar la recuperación, las víctimas deben conectar el disco duro con los datos cifrados a un sistema libre de infecciones. Luego, se necesita obtener la herramienta PetyaExtractor, la cual extrae ciertos valores desde el disco duro comprometido. Estos valores deben introducirse en el cuadro de texto que se observa en la página web de leostone.
A continuación, un algoritmo genera en un lapso de 30 segundos una contraseña para conseguir sobrepasar la pantalla de bloqueo de Petya. Después de arrancar el disco comprometido y de introducir la clave, el descifrado debiese comenzar automáticamente.
Ingeniería Social dirigida al personal de contratación
Sabemos que uno de los consejos para evitar infecciones de ransomware es evadir cualquier archivo de origen desconocido, pero ¿qué ocurre cuando la apertura de archivos extraños es inevitable? En Petya vemos cómo la Ingeniería Social utilizada para propagarse se encuentra puntualmente dirigida al staff de contratación de personal, forma de engaño que ya ha sido utilizada en el pasado y que nos lleva a repensar el rol de los RRHH en la seguridad de la información.
La recepción de correos adjuntos desde orígenes desconocidos representa una situación cotidiana e inevitable para los departamentos de RRHH: gran parte de su trabajo consiste en examinar currículos de postulantes externos, por lo que acostumbran abrir archivos aunque no conozcan a sus remitentes. Más aún, ante una búsqueda abierta están esperando recibir documentos, por lo cual podrían abrirlos sin hacerse demasiadas preguntas.
Capacitar a los empleados encargados de reclutar personal resulta crucial
Allí radica la importancia de la capacitación de los empleados encargados de reclutar personal, que resulta crucial, como así el brindarles las herramientas de seguridad necesarias para el escaneo de archivos sospechosos.
El hecho de que se fuerce una BSoD para luego enmascarar el cifrado del disco con un falso escaneo del mismo nos demuestra que se trata de un engaño muy bien orquestado, pues esta es una situación común que todo usuario de Windows conoce y que puede despistar incluso a personas con algunos conocimientos de informática.
Hacia la seguridad orientada a personas
Los procesos de seguridad deben estar orientados a la usabilidad. Muchas organizaciones ostentan un único programa de capacitación en seguridad de la información, cuando existe un universo de usuarios con diferentes aptitudes técnicas. En consecuencia, el principal problema en la capacitación suele ser la falta de motivación por parte de los usuarios.
Se deben diseñar planes para audiencias específicas, construirlos sobre los resultados esperados y pensarlos para ganar la atención de su público buscando mantener a los distintos actores interesados en actualizarse.
Las personas, por su parte, no asumen que también son parte del sistema y delegan la seguridad a los componentes informáticos. Desestiman su propio valor o el valor de la información que manejan. Del mismo modo en que usamos un enfoque multicapa para hacer frente a la seguridad técnica, podemos educar a los usuarios sobre los riesgos y vulnerabilidades, proveyendo las herramientas que minimicen su impacto.
Finalmente, con el paso del tiempo y la evolución del entorno (leyes, tecnologías, regulaciones), es necesario estipular mecanismos para mantener a los usuarios al tanto de los cambios.
Entonces, ¿cómo controlamos el factor humano? No se trata de una tecnología, proceso o programa, sino de una propiedad metafísica emergente del sistema humano que se desprende de una compleja interacción de relaciones e incentivos. Un abordaje práctico del problema requerirá un extenso conocimiento de la organización, una estrategia a largo plazo, las correctas herramientas y mucha paciencia.
Para ello debemos evaluar, capacitar y controlar nuestros recursos humanos. Si alguna de las tres actividades se ve comprometida, también lo hará la seguridad general.
Sigue leyendo: Todo sobre ransomware - guía básica y preguntas frecuentes
