Malware de la década del 2010: recordando a Petya y WannaCry

Malware de la década del 2010: recordando a Petya y WannaCry

En este último post de la serie de malware clásicos en la que repasamos amenazas que dejaron su huella en la historia, recordamos dos de las más importantes de la década actual como fueron Petya y WannaCry.

En este último post de la serie de malware clásicos en la que repasamos amenazas que dejaron su huella en la historia, recordamos dos de las más importantes de la década actual como fueron Petya y WannaCry.

Comenzamos esta serie sobre malware clásicos repasando dos amenazas de los años 80 como Brain y Morris. Luego, seguimos con los años 90 y recordamos al particular Michellangelo y a Melissa; hasta llegar a los años 2000 con Loveletter y Conficker. En esta oportunidad y para finalizar esta serie, traemos a la memoria a Petya y WannaCryptor, dos amenazas que sin lugar a dudas también son el reflejo de la evolución del malware con el paso del tiempo.

Petya

Tal como lo anunciamos en nuestro informe Tendencias 2016, ese año el ransomware comenzó a dar que hablar. Y así lo demostraron los hechos, cuando en marzo de 2016 apareció el ransomware Petya; una amenaza dirigida especialmente a personal de recursos humanos de empresas alemanas que afectaba principalmente a equipos que utilizaban Windows.

El proceso de infección de la primera campaña de Petya utilizó la ingeniería social como técnica. Todo comenzaba con un correo electrónico que llegaba al personal de recursos humanos (acostumbrado a recibir correos de origen desconocido) en el que un supuesto aspirante a un cargo en la empresa enviaba su postulación a través de un correo que no despertaba sospechas, dado lo bien escrito que estaba. En ese correo, el “aspirante” enviaba la documentación necesaria a través de Dropbox y en una carpeta nombrada “solicitud de empleo”, la cual contenía un ejecutable que escondía al ransomware y que solicitaba permisos de administrador. El hecho de que el archivo haya sido enviado a través del servicio de Dropbox impedía la detección del malware a través del proceso de escaneo de archivos adjuntos.

¿Qué daño provoca Petya? En una primera fase el malware cifra el Master Boot Record (MBR), mientras que en una segunda fase despliega una pantalla de error en Windows, conocida como “Blue Screen of Death”, que obliga a reiniciar el equipo. Al ejecutarse nuevamente, la amenaza simula realizar una “comprobación de disco” (chkdsk) y advierte que “uno de los discos presenta errores y necesita ser reparado”, cuando en realidad lo que hace es cifrar un gran porcentaje de los archivos que impide que se pueda acceder a las distintas particiones del disco rígido. Luego, aparece un mensaje que contiene una nota donde se le indica los pasos a seguir para restaurar el disco y que para solucionar el problema debe realizar un pago en bitcoins.

Posteriormente, Dropbox logró desinfectar los archivos que contenían Petya de sus sistemas y un usuario bajo el pseudónimo leostone lanzó una herramienta gratuita que genera una clave que permite reparar los archivos cifrados en la máquina infectada.

Meses después, comenzaron a aparecer nuevas versiones de Petya que contenían un segundo ransomware conocido como Mischa y que cifraba archivos con distintas extensiones y demandaba el pago de un rescate para recuperar los archivos. Este segundo ransomware hacía su aparición si el usuario no accedía a otorgar permisos de administrador al momento de querer ejecutar el archivo.

WannaCryptor

Tal como publicamos en mayo del año pasado: WannaCry fue el responsable de que el mundo entero hable sobre seguridad. WannaCryptor, también denominado WanaCry, es un ransomware que se propagó de manera masiva a nivel mundial y generó un gran revuelo al infectar unas 200,000 computadoras de grandes compañías y organizaciones en 150 países, logrando convertirse en un tema de interés general.

El 12 de mayo de 2017 se conocieron las primeras noticias sobre el ataque masivo del ransomware WannaCry. Con el paso de las horas, el impacto y la magnitud de WannaCry comenzó a reflejarse en los medios de todo el mundo. En Inglaterra, por ejemplo, las computadoras del Sistema Nacional de Salud habían sido infectadas y había paralizado todo el sistema de salud. En España, ese mismo 12 de mayo El Mundo daba a conocer que la compañía Telefónica sufrió el secuestro del 85% de sus equipos.

Una de las particularidades de esta amenaza que afectaba a equipos que utilizaban Windows, es que para activar el ransomware explotaba una vulnerabilidad llamada EternalBlue/DoblePulsar (se especula con que este exploit fue desarrollado por la NSA y robado por el grupo Shadow Brokers en abril de 2016), que había sido parcheada por Microsoft dos meses antes del brote. Este hecho, más allá de la discutible forma en que se distribuyen los parches de seguridad, refleja la importancia que tienen las actualizaciones. Asimismo, la explotación de esta vulnerabilidad permitía la ejecución remota de comandos a través de Samba (SMB).

Un factor que contribuyó al gran impacto de WannaCryptor es que además de ser un ransomware tenía características de gusano (ransomworm), lo que le permitió que al infectar un equipo pudiera propagarse rápidamente a través de la red e infectar a otros dispositivos.

Las máquinas infectadas sufrían el cifrado de los archivos e impedía el acceso a los mismos. Para recuperarlos y obtener la llave de descifrado, los atacantes detrás de WannaCry pedían el pago de 200 dólares en bitcoins para rescatar los archivos del cifrado.

Si bien la propagación de la primera variante de WannaCryptor logró ser detenida con el descubrimiento de un “kill switch” por parte de un investigador británico, al poco tiempo surgieron nuevas variantes que no eran tan fáciles de detener.

Finalmente y luego de los daños que provocó WannaCry, investigadores de ESET revelaron que en mayo de 2018, un año después del brote, el exploit EternalBlue utilizado para activar el ransomware registraba mayor actividad que al momento de comenzar el brote de WannaCryptor; lo que deja en evidencia que aún siguen existiendo dispositivos sin parchear.

Discusión