Cuando se cumplen exactamente siete años desde que NotPetya se disparó en Ucrania, analizamos brevemente lo que fue esta poderosa epidemia de Ransomware, los nuevos descubrimientos y lo que se aprendió tras dicho malware.
2017 es conocido por ser un año bastante caótico a nivel de ciberataques. Populares son WannaCry y BadRabbit como los ransomware más resonantes de ese tiempo. Sin embargo, entre medio de estos dos tuvimos un malware bastante interesante que ha cambiado la forma de ver a los virus ransomware de gran manera.
Hablar del funcionamiento de Petya puede resultar algo complejo debido a toda la metodología que implementa y a su modo de operación, por lo que únicamente mencionaremos en este caso a las consecuencias y aprendizajes que se han encontrado durante y luego de esta epidemia. Para profundizar aún más, se recomienda leer esta siguiente lectura.
A lo que nos debemos centrar es que Petya permitió comprender una nueva forma de infección de equipos. Ya no era necesario atacar cifrando los ficheros del sistema operativo, sino que ahora se encriptaba directamente la tabla maestra de archivos, alojándose en el registro de arranque principal de la computadora, haciendo inaccesible el acceso del usuario hacia su escritorio. Una innovación que generaría una nueva visión de cara a enfrentar este tipo de incidentes, pudiendo infectar únicamente el MBR sin necesidad de hacerlo con los archivos de la víctima.
En adición, recordemos brevemente que NotPetya (una variante del Petya original) fue diseñado por Rusia para atacar a Ucrania a nivel digital. Se sabe que ambos países tienen un conflicto geopolítico muy profundo por detrás, y es normal que la guerra se mueva a otros ámbitos en lugar de aferrarse a la parte bélica. También se ha observado conflictos en el apartado informático recientemente en medio oriente, con Israel y Palestina en el centro de la disputa.
Lo interesante fue cómo se inició el ataque en Ucrania. Según se informó, se modificó una actualización del paquete de contabilidad de origen ucraniano llamado MeDoc, el cual en lugar de descargar el parche con sus nuevas funcionabilidades, instalaba el ransomware, infectando al equipo que descargó la actualización.
Pero no solo eso. Se profundizó mucho más en el concepto de movimiento lateral, el cual se refiere a que si un único equipo de la red es afectado, puede extenderse sin ninguna oposición hacia los demás dispositivos. De esta forma, es como el aeropuerto de Kiev, el metro de esa ciudad e incluso centros médicos han sido víctimas de NotPetya, teniendo que avanzar en medidas como aislamiento, tratamiento, mitigación y cuarentena para evitar cualquier avance adicional que incluso pueda infectar las bases de datos y copias de seguridad, una amenaza siempre presente en entornos organizacionales.
«Parece ser que el sistema de actualización automático del software fue infectado y utilizado para descargar y ejecutar malware en vez de actualizaciones para el software», comentó el experto en seguridad británico, Marcus Hutchins, quien jugó un rol fundamental también en otra epidemia de ransomware, WannaCry.
Aunque lo más destacado en este concepto fue la restitución de la idea de guerra cibernética. No fue una novedad de ese año. De hecho, en «Mentiras deliberadas, muertes extrañas y agresión a la economía mundial» de Fidel Castro se explica muy bien los antiguos ciberataques durante la guerra fría, en medio del conflicto entre Estados Unidos y la Unión Soviética.
«Compraron computadoras de los primeros modelos en el mercado abierto, pero cuando las autoridades del gasoducto abordaron a Estados Unidos para adquirir el software necesario, fueron rechazados» (…) «Una vez en la Unión Soviética, las computadoras y el software, trabajando juntos, hacían operar el gasoducto maravillosamente. Pero esa tranquilidad era engañosa. En el software que operaba el gasoducto había un caballo de Troya, término que se usa para calificar líneas de software ocultas en el sistema operativo normal, que hacen que dicho sistema se descontrole en el futuro, o al recibir una orden desde el exterior». (Mentiras deliberadas, muertes extrañas y agresion a la economía mundial. (2007). Fidel Castro.)
Años después y con nuevas disputas en el mapa mundial, la idea de la guerra cibernética está más presente que nunca. Rusia contra Ucrania, Israel contra Palestina, China contra los Estados Unidos. Países que desean imponer su ideología y se mueven a los terrenos informáticos buscando desplegar su arsenal para anteponerse a su enemigo.
En medidas algo más generales, la epidemia de Petya dejó muchas enseñanzas en las compañías, pero también a nivel usuario.
La importancia de las actualizaciones y parches se hizo cada vez más presente. Recordemos que este ransomware explotaba algunas vulnerabilidades críticas del sistema, incluso cuando ya se habían anunciado por parte de Microsoft meses anteriores. Lo peor de todo es que organizaciones aún contaban con equipos con sistema operativo de Windows XP, Windows Vista, entre otros antiguos, lo cual no eran accesibles para los parches, mostrándose completamente expuestas y sin posibilidad de soluciones preventivas.
También se incorporó aún más la idea de la segmentación de las redes, destacando la necesidad de realizarla de manera adecuada, dividiéndola en segmentos más pequeños y controlados, limitando la propagación de malware y minimizando el impacto en caso de un ataque.
Fue crucial poder recuperarse ante pérdidas significativas de datos. Muchas organizaciones no tenían copias de seguridad adecuadas ni planes de recuperación ante desastres informáticos. Por tal motivo, mantener copias de seguridad regulares y asegurarse de que los planes de recuperación ante desastres estén bien diseñados fue crucial para la resiliencia ante ataques de ransomware y otros incidentes cibernéticos.
Otro aprendizaje tras la epidemia fue la desconfianza incluso ante proveedores conocidos. MeDoc era ampliamente utilizado en Ucrania para la contabilidad. Esto demuestra la importancia de evaluar y asegurar no solo los sistemas internos, sino también productos y servicios pensando además que un tercero conocido puede caer infectado. Hoy en día conocemos el concepto de ataque a la cadena de suministros, lo cual se reflejó enormemente en los desastres de NotPetya.
Tras siete años de su erupción, Petya y otros ransomware de esa época dejaron una profunda impresión en el mundo de la ciberseguridad, resaltando las áreas críticas que deben ser abordadas para poder proteger a cada una de las infraestructuras digitales y mantener la continuidad del negocio frente a las amenazas recientes, avanzadas y pertinentes.