Cómo ataca NotPetya

GMV, empresa líder en Ciberseguridad, corrobora que el ciberataque que ayer afectó a instituciones, bancos y empresas ubicadas en Ucrania, así como a algunas multinacionales con sede en España, se trata de un nuevo ataque de tipo ransomware adaptado para su difusión en redes de empresa.

Mariano Benito, CISO de GMV Secure e-Solutions, analiza el nuevo ataque y asegura que se trata de un ataque más complejo que WannaCry o Petya. Es “mucho más complejo y peligroso que el ataque anterior, WannaCry, porque está diseñado para hacer más daño y con más intentos para conseguirlo”. El que ha sido denominado NotPetya “utiliza para saltar de equipo en equipo el mismo mecanismo (MS17-010) que utilizaba wannacry, pero si le falla, intenta utilizar los permisos de conexión automática entre equipos que tienen configuradas algunas organizaciones”. Si esto también le falla, “intenta apoyarse en los sistemas de administración centralizada de Windows para saltar a más equipos”.

Otra diferencia fundamental, como apunta Benito, es la paciencia con la que actúa. NotPetya “primero intenta infectar a otros equipos de la red, y se da entre 30 y 60 minutos para hacerlo antes de dañar al sistema que ha infectado”. Por ello, “es probable que los responsables de una red no puedan responder cuando se detecte la primera infección porque ya estarán todos los equipos infectados”.

De la misma forma, “la infección es también más completa en NotPetya ya que mientras wannacry seleccionaba ficheros y los cifraba uno a uno, NotPetya altera el total del disco duro del equipo”.

¿Cómo se infecta una empresa? No se infecta por contagio desde otras empresas infectadas, “salvo que estén en la misma red de comunicaciones. Cada empresa se debe infectar de forma independiente, y la forma más habitual es por correos maliciosos” explica el CISO de GMV.

Los daños causados por NotPetya “podían haber sido mayores porque está diseñado para ello”. Afortunadamente, “el ataque WannaCry permitió aplicar medidas preventivas eficaces”.