Descargar el artículo

Surgen nuevos detalles del ransomware Petya que paralizó Asia y Europa

Hasta ahora se desconocía la forma de operar de Petya, el código malicioso que tomó por sorpresa a decenas de importantes organizaciones de Ucrania, Reino Unido y Rusia, principalmente, pero ahora se conoce mejor su origen y Modus Operandi.

Nuevos detalles indican que este ransomware se propaga lateralmente dentro de las empresas a través de una vulnerabilidad presente en el protocolo SMBv1 encargado de diversas tareas dentro de un servidor Windows.

El problema no es que se haya descubierto este problema hace unas pocas horas, sino que la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) de Estados Unidos ya conocía esta vulnerabilidad desde hace cinco años.

Diversos analistas creen que la agencia gubernamental no notificó a Microsoft del error hasta hace poco, pues quería ver hasta dónde podía llegar el daño que un ransomware como Petya (o NotPetya) podía provocar.

Por esta razón la empresa con oficinas en Redmond, Seattle, no pudo parchar la vulnerabilidad en el protocolo SMBv1 hasta marzo pasado, dejando muy poco tiempo para realizar las pruebas necesarias para asegurar su potencial de protección a los servidores a los que se aplicara el parche.

Debido a esta falla de comunicación entre la agencia y Microsoft, ransomware como WannaCry, EternalBlue o Petya, tienen paso libre para infectar hasta 230 mil computadoras en más de 150 países en tan solo unas horas.

Ahora que se conoce el Modus Operandi de este código malicioso, los expertos no tardarán en descubrir una forma de detenerlo.

Por lo pronto se han recomendado las mismas precauciones de seguridad que se usaron para combatir el avance de WannaCry en mayo pasado:

• Actualizar las máquinas Windows de las empresas a la versión MS17-010
• Bloquear mensajes maliciosos, detener descargas de archivos sospechosos y proteger las redes a través de software del tipo URL sandboxing
• Desactivar el protocolo SMBv1 para evitar una posible brecha de seguridad