Cinco años después de Petya, Nick Emanuel, de Webroot, examina la mecánica del ransomware y el impacto práctico que el malware ha tenido en la industria de la ciberseguridad.
Un terrible virus, la preocupación por los Juegos Olímpicos, la palabra «Brexit» en boca de la gente… ¿le suena? Un escenario que puede parecerse mucho al actual, pero el mundo ya lidiaba con estos y otros retos en 2016. La aparición del virus del Zika causaba alarma, los retrasos logísticos y organizativos habían puesto en duda los Juegos Olímpicos de Río de Janeiro y un reñido referéndum en el Reino Unido iniciaba la salida del país de la Unión Europea.
Durante esta época turbulenta, surgía un nuevo atacante en forma de Petya, un ransomware devastador que afectaría a miles de empresas en todo el mundo. Petya utilizó técnicas de ingeniería social y un uso inteligente del phishing para engañar a las víctimas para que descargaran y ejecutaran un archivo. Si se engañaba a la gente para que renunciara a los privilegios de administrador, se les «chantajeaba» con la petición de un rescate en Bitcoin para desencriptar el disco duro que ahora quedaba inaccesible.
Vemos nuevas cepas de malware todos los días, pero hace falta una «tormenta perfecta» de contagio, proximidad de huéspedes y tiempo de incubación para que un virus se extienda globalmente en poco tiempo y con tan graves consecuencias. Petya fue diseñado para ganar dinero, pero ni siquiera su creador original podría haber predicho el impacto final que tendría el virus. Cinco años después, las lecciones aprendidas con la aparición de Petya y sus variantes demuestran cómo un solo malware puede cambiar la ciberseguridad para siempre.
La primera línea de defensa
En 2017, los atacantes lanzaron un ataque a una empresa de contabilidad ucraniana, infectando sus PC con una nueva variante del malware Petya original; en lugar de un «paciente cero» hubo miles de máquinas infectadas de inmediato.
Apodado NotPetya por los investigadores, este ransomware tenía un potencial malicioso aún mayor que el Petya original. En lugar de requerir la difusión de correos electrónicos de spam o ingeniería humana, como hizo Petya, NotPetya fue capaz de explotar una puerta trasera y obtener acceso administrativo antes de infectar remotamente todas las máquinas de la red. Tampoco se hizo ninguna petición de Bitcoin. Si una máquina estaba infectada, era poco probable que pudiera ser restaurada.
Un legado duradero
Un informe estadounidense estimó entonces en 10.000 millones de dólares los daños de NotPetya, descrito como «el ciberataque más devastador de la historia». El sector de la ciberseguridad sabía que tenía que enfrentarse al problema. Lo que importaba en el sector en 2016 era proteger el moribundo perímetro de la red al tiempo que se gestionaba un crecimiento de los usuarios que trabajaban fuera de una red tradicional.
NotPetya solidificó la necesidad de una formación de concienciación de seguridad centrada en la prevención y detección de posibles amenazas en las interacciones diarias de los empleados con sus dispositivos. Antes de 2016, la formación de los usuarios se centraba únicamente en el cumplimiento de la normativa o en proporcionar información especializada a determinados analistas o administradores de seguridad.
En los últimos 5 años, la industria se ha adaptado a un cambio de paradigma en la superficie de ataque. Los proveedores han sacado al mercado herramientas y servicios adicionales para descubrir las amenazas más rápidamente, compartir más datos e información y preparar productos para reducir la carga de los operadores, liberando tiempo para las tareas esenciales.
Hemos llegado a reconocer la «ciberresiliencia» y la necesidad de proporcionar a los usuarios un nivel de defensa fundamental. Combinadas con una práctica de recuperación y una sólida rutina de copias de seguridad, estas son las mejores prácticas básicas que todas las empresas pueden poner en práctica. Las lecciones aprendidas de Petya/NotPetya siguen siendo relevantes hoy en día y no serán las últimas, ya que constantemente surgen nuevas amenazas. Pero si se toman en serio la ciberseguridad y la resiliencia, las empresas estarán mucho mejor preparadas para afrontar los retos del futuro.
Redacción CambioDigital OnLine