El CNI hace balance: el ciberataque Petya fue mucho más peligroso que WannaCry

El Centro Nacional de Inteligencia (CNI) ha hecho balance del ciberataque de este martes que se originó en Ucrania y que afectó a varias multinacionales con sede en España. La Inteligencia española ha concluido cuáles fueron los sistemas operativos objetivo de los hackers, los métodos de infección e incluso ha planteado una medida para evitar nuevas vulnerabilidades.

En el informe redactado por el Centro Criptológico Nacional (CCN-CERT), el organismo del CNI especializado en ciberinteligencia, se puede leer que "el código dañino utilizado, una variante de la familia Petya, es más sofisticado y que en el caso de WannaCry y, en esta ocasión, podría tratarse de un ataque más dirigido". Es decir, el Petya es "más peligroso" que el WannaCry aunque en este nuevo episodio "el agresor no pareció pretender un beneficio económico, ya que no adoptó las medidas habituales para conseguir el anonimato y la disponibilidad de servicio de cobro propia de otras campañas de cibercrimen". Solo pedían un rescate en Bitcoin de 300 dólares.

El CNI tiene claro cuál era el sistema operativo al que atacar: Windows. También maneja como hipótesis de infección dos posibilidades, aún por confirmar: "Un correo electrónico de spear phising con un fichero adjunto que explotaría la vulnerabilidad de Microsoft" y "una actualización dañina de un programa comercial del ámbito financiero".

Desde la Inteligencia española se apunta también que "tras la infección inicial en un equipo, el código dañino intenta obtener privilegios y continúa con un reconocimiento de la red local en busca de otras máquinas para propagarse. Lo hace usando diferentes vías, como la ejecución remota con 'psexec' a través de carpetas compartidas, la ejecución remota con 'wmic', con extracción de credenciales mediante el uso de parte del código de 'mimikatz' en el equipo inicialmente comprometido, y la explotación de las vulnerabilidades asociadas a ETERNALBLUE (Microsoft MS 17-010), también usado por WannaCry para ejecutar código.

En las pruebas realizadas en sistemas Windows 10 con privilegios de administrador, el código dañino fue detectado y bloqueado por Windows Defender, es decir, que solo afectó a versión anteriores.Cómo prevenir nuevos ataques

El CNI recomienda realizar una sencilla tarea en el ordenador para evitar nuevas infecciones del Petya. Para ello echa mano de la recomendación del investigador Amit Serper, que ha propuesto crear en el equipo varios ficheros (con los nombres perfc.dat, perfc.dll y perfc) en la carpeta c:\Windows. De esta manera el binario interpreta que ya tiene la librería infectada y detiene el procedimiento de infección.I found a way to stop the malware, All we need to know is the original name of the file - Come on people! https://t.co/4e17ST5xHL— Amit Serper (@0xAmit) 27 de junio de 2017

Otras recomendaciones que propone la Inteligencia española pasan por "aplicar los parches de seguridad existentes para Microsoft Office y Windows", "mantener actualizados las aplicaciones antivirus" y "extremar las precauciones para evitar acceder a correos o enlaces no legítimos". Para evitar la propagación a otros equipos plantea "inhabilitar el acceso a las carpetas compartidas con nombre Admin y Admin$ en la red local", "activar AppLocker para bloquear la ejecución de la herramienta PsExec de la suite de Microsoft Sysinternals" e "inhabilitar la ejecución remota de WMI".

Si se detecta una infección el CNI es contundente: "Se recomienda apagar el ordenador lo más rápido posible y, si ya se hubiera iniciado la propagación a otros equipos, aislarlos en redes VLAN sin conectividad con otras redes". Asimismo recuerda que "efectuar el pago por el rescate del equipo no garantiza que los atacantes envíen la utilidad y/o contraseña de descifrado, sólo premia su campaña y les motiva a seguir distribuyendo masivamente este tipo de código dañino".