El Centro Nacional de Inteligencia (CNI) ha hecho balance del ciberataque de este martes que se originó en Ucrania y que afectó a varias multinacionales con sede en España. La Inteligencia española ha concluido cuáles fueron los sistemas operativos objetivo de los hackers, los métodos de infección e incluso ha planteado una medida para evitar nuevas vulnerabilidades.

En el informe redactado por el Centro Criptológico Nacional (CCN-CERT), el organismo del CNI especializado en ciberinteligencia, se puede leer que "el código dañino utilizado, una variante de la familia Petya, es más sofisticado y que en el caso de WannaCry y, en esta ocasión, podría tratarse de un ataque más dirigido". Es decir, el Petya es "más peligroso" que el WannaCry aunque en este nuevo episodio "el agresor no pareció pretender un beneficio económico, ya que no adoptó las medidas habituales para conseguir el anonimato y la disponibilidad de servicio de cobro propia de otras campañas de cibercrimen". Solo pedían un rescate en Bitcoin de 300 dólares.

El CNI tiene claro cuál era el sistema operativo al que atacar: Windows. También maneja como hipótesis de infección dos posibilidades, aún por confirmar: "Un correo electrónico de spear phising con un fichero adjunto que explotaría la vulnerabilidad de Microsoft" y "una actualización dañina de un programa comercial del ámbito financiero".

Desde la Inteligencia española se apunta también que "tras la infección inicial en un equipo, el código dañino intenta obtener privilegios y continúa con un reconocimiento de la red local en busca de otras máquinas para propagarse. Lo hace usando diferentes vías, como la ejecución remota con 'psexec' a través de carpetas compartidas, la ejecución remota con 'wmic', con extracción de credenciales mediante el uso de parte del código de 'mimikatz' en el equipo inicialmente comprometido, y la explotación de las vulnerabilidades asociadas a ETERNALBLUE (Microsoft MS 17-010), también usado por WannaCry para ejecutar código.

En las pruebas realizadas en sistemas Windows 10 con privilegios de administrador, el código dañino fue detectado y bloqueado por Windows Defender, es decir, que solo afectó a versión anteriores.

El CNI recomienda realizar una sencilla tarea en el ordenador para evitar nuevas infecciones del Petya. Para ello echa mano de la recomendación del investigador Amit Serper, que ha propuesto crear en el equipo varios ficheros (con los nombres perfc.dat, perfc.dll y perfc) en la carpeta c:\Windows. De esta manera el binario interpreta que ya tiene la librería infectada y detiene el procedimiento de infección.

