Com ataca NotPetya

GMV, empresa líder en ciberseguretat, corrobora que el ciberatac que ahir va afectar institucions, bancs i empreses ubicades a Ucraïna, així com algunes multinacionals amb seu a Espanya, es tracta d’un nou atac de tipus ransomware adaptat per a la seva difusió en xarxes d’empresa.

Mariano Benito, CISO de GMV Secure e-Solutions, analitza el nou atac i assegura que es tracta d’un atac més complex que WannaCry o Petya. És “molt més complex i perillós que l’atac anterior, WannaCry, perquè està dissenyat per fer més mal i amb més intents per aconseguir-ho”. El que ha estat denominat NotPetya “utilitza per saltar d’equip en equip el mateix mecanisme (MS17-010) que utilitzava wannacry, però si li falla, intenta utilitzar els permisos de connexió automàtica entre equips que tenen configurades algunes organitzacions”. Si això també li falla, “intenta recolzar-se en els sistemes d’administració centralitzada de Windows per saltar a més equips”.

Una altra diferència fonamental, com apunta Benito, és la paciència amb què actua. NotPetya “primer intenta infectar altres equips de la xarxa, i es dona entre 30 i 60 minuts per fer-ho abans de danyar el sistema que ha infectat”. Per això, “és probable que els responsables d’una xarxa no puguin respondre quan es detecti la primera infecció perquè ja estaran tots els equips infectats”.

De la mateixa manera, “la infecció és també més completa en NotPetya, ja que mentre wannacry seleccionava fitxers i els xifrava d’un en un, NotPetya altera el total del disc dur de l’equip”.

Com s’infecta una empresa? No s’infecta per contagi des d’altres empreses infectades, “tret que estiguin en la mateixa xarxa de comunicacions. Cada empresa s’ha d’infectar independentment, i la manera més habitual és per correus maliciosos”, explica el CISO de GMV.

Els danys causats per NotPetya “podien haver estat més grans perquè està dissenyat per a això”. Afortunadament, “l’atac WannaCry va permetre aplicar mesures preventives eficaces”.