Petya utiliza tanto EternalBlue como PsExec (una utilidad legítima de Windows) como vectores de infección
Una nueva ola de ransomware afecta a empresas de toda Europa. Así lo aseguran ya numeros medios de comunicación, empresas y editores de soluciones de seguridad. Y es que, tal y como ocurrió con el ya famoso WannaCry , la variante de Petya que está detrás de estos ataques ha puesto el mundo de la ciberseguridad “patas arriba”.
Según va pasando el tiempo vamos conociendo más detalles de este ransomware su forma de operar. Y es que, por si el cifrado de archivos y la toma de rehenes no fuera suficiente, los cibercriminales que crean y difunden crypto-ransomware ahora recurren a provocar la pantalla azul de la muerte (BSoD) y a incluir sus notas de petición de rescate al iniciarse el sistema, incluso antes de que se cargue el sistema operativo.
Imagínese encender el ordenador y que en lugar del habitual icono de carga de Windows aparezca una pantalla de color rojo y blanco en la que destella una calavera en su lugar.
Esto es lo que las víctimas del #ransomware#Petya han visualizado:
Eso es precisamente lo que hace la nueva variante de crypto-ransomware denominado Petya capaz, según Trend Micro, sobrescribir el registro de arranque principal, también conocido como registro de arranque maestro (MBR) del sistema afectado con el fin de bloquear el acceso a los usuarios, también es interesante observar que, según afirma un análisis de esta empresa, para llegar a las víctimas utiliza un servicio de almacenamiento cloud legítimo (en este caso lo hace a través de Dropbox).
El equipo de investigación de Trend Micro ha observado que no se trata de la primera vez que el malware abusa de un servicio legítimo para su propio beneficio; sin embargo, ésta es la primera vez (desde hace un largo período de tiempo) que provoca la infección por crypto-ransomware. También es una desviación de la cadena de infección típica, en la que los archivos maliciosos están asociados a mensajes de correo electrónico o alojados en sitios maliciosos y son entregados por kits de exploits.
Rutina de infección
Según se informa, Petya todavía se distribuye por correo electrónico. Las víctimas recibirán un email personalizado que invita a leer una aparente carta o mensaje de negocios en el que un “aspirante” busca un puesto de trabajo en una empresa. Se presentaría a los usuarios con un hipervínculo a un lugar de almacenamiento de Dropbox, que supuestamente permitiría la descarga del currículum vitae (CV) del candidato.
En una de las muestras analizadas, en la carpeta de Dropbox los puntos de enlace contienen dos archivos: un archivo ejecutable autoextraíble, que pretende ser el CV, y las fotos del solicitante. Profundizando más, se ha encontrado que la foto es una imagen de stock que es muy probable que se utilice sin el permiso del fotógrafo.
Trend Micro informó a Dropbox acerca de los archivos maliciosos alojados en su servicio cuando este texto fue publicado en el blog de Trend Micro hace unos días. Dropbox ya ha eliminado el archivo en cuestión junto con otros enlaces que almacenan el mismo archivo. Y se ha mostrado dispuesto a tomar todas las medidas necesarias al respecto : “Nos tomamos cualquier indicio de abuso de la plataforma Dropbox muy en serio y tenemos un equipo dedicado que trabaja todo el día para controlar y prevenir el mal uso de Dropbox”.
Y, aunque aseguran que “este ataque no ha implicado ningún tipo de compromiso de seguridad de Dropbox”, Ya “se han puesto en marcha los procedimientos para cerrar de forma proactiva la actividad deshonesta o delictiva como ésta tan pronto como suceda”.
Por supuesto, el archivo descargado no es en realidad un CV, sino más bien un archivo ejecutable de extracción automática que después desencadena la descarga de un troyano en el sistema. El troyano ciega a los programas antivirus instalados antes de la descargar (y ejecutar) el ransomware.
Síntomas de la infección
Una vez ejecutado, Petya sobrescribe el MBR de todo el disco duro, haciendo que Windows se cuelgue y muestre una pantalla azul. En caso de que el usuario trate de reiniciar su PC, el MBR modificado le impedirá la carga de Windows con normalidad y, en cambio, le dará la bienvenida con una calavera ASCII y un ultimátum: pague una cierta cantidad de bitcoins o perderá el acceso a sus archivos y al equipo.
Otra cosa a destacar es que el MBR editado tampoco permite reiniciar en Modo Seguro.
Acto seguido, el usuario recibe instrucciones explícitas sobre cómo hacer el pago, al igual que cualquier crypto-ransomware que esté circulando en la actualidad: una lista de demandas, un enlace a Tor Project y cómo llegar a la página de pago a través de él, y un código de descifrado personal.
Figura 3. Instrucciones de pago y decodificación de PETYA
Viendo la alta profesionalidad del diseño de la web Tor, descubrimos que su precio de rescate se encuentra actualmente en 0,99 Bitcoin (BTC), o 431 dólares, y que dicho precio podría duplicarse si se agota el plazo indicado en la pantalla.
Figura 4. Deep website de PETYA
Fuente: http://globbsecurity.com/
Fecha de consulta: 27 junio 2017