NotPetya ha sido uno de los malware que más daño ha causado en los últimos años. El alcance de su impacto a llevado a los responsables de seguridad de las organizaciones a repensar su enfoque.
Aunque la familia de malware Petya se descubrió en 2016, su popularidad no llegó hasta el año siguiente, cuando protagonizó un ciberataque masivo contra objetivos en Ucrania. Más de 80 empresas fueron infectadas utilizando un nuevo patógeno conocido como NotPetya.
El ataque acabó propagándose y afectando a organizaciones a nivel mundial causando daños valorados en más de 10.000 millones de dólares.
Esta variante, NotPetya, se propagó usando un exploit llamado EternalBlue, robado a la NSA, la Agencia de Seguridad Nacional de los Estados Unidos. Cuando el exploit accedía a los sistemas comprometidos, aprovechaba un fallo en los protocolos de red de Windows para propagarse por las redes.
En concreto, explotaba una vulnerabilidad en el protocolo Server Message Block (SMB) de Windows, una falla que Microsoft parcheó en Windows 10. Sin embargo, todo lo que necesitó para que el malware se propagara fue un único ordenador con Windows 10 sin parchear o un PC con una versión antigua de Windows dentro de una organización.
Al hacerlo sigilosamente y sin necesidad de la intervención del usuario, NotPetya marcó un antes y un después en el terreno de los malware ya que su comportamiento era más similar al de un ransomware.
Aunque originalmente no estaba diseñado para recaudar dinero, al final exigía el pago de un rescate, lo que llevó a los expertos a considerar que, detrás de este malware había un Estado, y se había convertido de una de las principales ciberamenazas a nivel mundial
El ransomware como arma de guerra
Al igual que Petya, su sucesor, NotPetya, no era un ransomware como tal ya que no se podía descifrar. Sin embargo, los atacantes pedían un rescate de 300 dólares para ocultar sus verdaderas intenciones.
NotPetya surgió cinco semanas después de WannaCry, otra pieza peligrosa de ransomware falso. Considerada como una verdadera «arma cibernética», NotPetya compartió con WannaCry el uso de EternalBlue.
Además de EternalBlue, NotPetya también de valía de otra herramienta de investigación de seguridad llamada Mimikatz, que podía extraer contraseñas de la memoria. Conjuntamente, las dos herramientas hicieron posible que el ataque se propagara de una máquina a otra.
NotPetya paralizó grandes empresas como Maersk, la farmacéutica Merck, a la subsidiaria europea de Fedex, TNT Express, a la constructora francesa Saint-Gobain, al productor de alimentos Mondelēz y al fabricante Reckitt Benckiser.
En total, el malware causó más de 10.000 millones de dólares en daños globales. La fuente de NotPetya fue un grupo de agentes rusos del GRU conocido como Sandworm o Unidad 74455, que se cree que está detrás del ciberataque de 2015 a la red eléctrica ucraniana, entre otros.
En el actual contexto, con una guerra entre Rusia y Ucrania que traspasa las fronteras físicas hasta el mundo digital y amenaza también a los países Occidentales, ¿qué lecciones nos ha dejado NotPetya que podemos aplicar al panorama actual?
Que no se repita NotPetya
Después del impacto de WannaCry y NotPetya, el ransomware pasó de ser algo utilizado de manera oportunista por los ciberdelincuentes a casi un arma de guerra. Cada vez vemos más casos en los que los estados usan el ransomware como una herramienta para dañar a otros estados y organizaciones.
Tanto NotPetya como WannaCry complicaron el panorama de ciberseguridad ya que los proveedores de seguridad tuvieron que centrar sus esfuerzos en tecnologías de cifrado. Además, también provocaron que cambiase la conciencia de muchos CISO y CSO al ver la capacidad de propagación que tenían y las consecuencias que conllevaban.
El actual conflicto en Ucrania ha traído a la mente de muchos lo que sucedió con NotPetya. Cuando se inició el conflicto, el temor a que los grupos de ransomware rusos actuasen para atacar contra Ucrania y otros objetivos occidentales hizo saltar las alarmas y recordar lo que sucedió.
No cabe duda de que muchos de los ciberataques que recibió Ucrania antes del inicio del conflicto armado el pasado mes de febrero tenían su origen en la región rusa. Sin embargo, con el paso del tiempo, esas amenazas también se han dirigido contra empresas e infraestructuras de países aliados de Ucrania.
Si bien los expertos apuntan que los rusos están siendo más cuidadosos en sus ciberataques, la tecnología está disponible y en cualquier momento pueden cambiar las tornas. La amenaza está muy presente y estar preparados para minimizar su impacto es crítico.
Una revisión de las políticas de seguridad es ahora más importante que nunca. En ellas, la prevención juega un papel fundamental. Una prevención que pasa por tener en cuenta los backups, actualizar y parchear, invertir en seguridad y, cómo no, en capacitar y concienciar.
