Después de que Petya golpeó al fabricante de medicamentos Merck, con sede en Nueva Jersey, las comunicaciones internas de la compañía instruyeron a los empleados a desconectar todos los dispositivos móviles de la red y abstenerse de publicar en las redes sociales.
Microsoft advirtió dos veces sobre las actualizaciones críticas necesarias para parchear los sistemas contra ETERNALBLUE, la tecnología central desarrollada por la comunidad de inteligencia estadounidense y que ahora está siendo explotada por un grupo de hackers desconocidos conocidos como ShadowBrokers. Merck, al no cumplir e instalar las actualizaciones, dejó su sistema abierto y vulnerable.
- ¿Cómo elimina Kaspersky el antivirus?
- ¿Cómo establecerías un perímetro de seguridad?
- Dado que Whatsapp usa encriptación de extremo a extremo, ¿aún es posible escuchar paquetes y descifrarlos de nuevo al mensaje real?
- ¿Por qué alguien más no debería preocuparse por ser pirateado y el hacker poniendo algo ilegal en su dispositivo?
- ¿Cuál es la diferencia entre ciberseguridad e ingeniería cibernética?
Incluso después del ataque global en mayo de 2017 cuando Microsoft emitió una tercera advertencia y otro parche más, Merck aún descuidó la seguridad del sistema.
Merck se abstuvo de comentar pero emitió una declaración que decía:
“Hemos avanzado mucho en nuestra respuesta al ciberataque global del 27 de junio. Hemos implementado planes de continuidad comercial y continuamos enviando pedidos y satisfaciendo las necesidades de los pacientes.
Nosotros y nuestros socios externos no vemos indicios de que los datos de la compañía hayan sido comprometidos ”. ( Endpoints News )
¿Cómo funciona el malware Petya?
Según Symantec , el punto de inserción de Petya en un sistema es a través de MEDoc, un sistema de software de impuestos y contabilidad utilizado principalmente en Ucrania.
Una vez que Petya obtiene acceso a un sistema, se propaga de varias maneras para infectar sistemas corporativos, de manera rápida y despiadada.
Petya es un gusano.
Es decir, Petya es un programa autorreplicante que se infiltra con la intención de difundir código malicioso. Las redes son secuestradas para enviar copias del código original del gusano a otras computadoras que causan daño al consumir ancho de banda o, en el caso de Petya, eliminar archivos. Los gusanos también pueden instalar puertas traseras.
Petya crea una lista de direcciones IP de destino tanto en el servidor local como en las IP remotas.
( Para obtener una lista completa de todas las direcciones IP y servidores incluidos …)
Luego crea una lista de nombres de usuario y contraseñas, almacena las credenciales del Administrador de Windows y se extiende hacia afuera.
Petya se propaga por recursos compartidos de red o explotando el protocolo de transporte de Windows (SMB) , específicamente ETERNALBLUE.
Petya destruye archivos.
Una vez ejecutado, Petya intenta eliminarse del sistema original infectado sobrescribiendo el archivo con bytes nulos. Esto se hace para frustrar la detección forense y el rastreo. Finalmente, el archivo se elimina del disco.
Infección y encriptación.
Pero incluso eso no es suficiente para esta desagradable pieza de malware. Petya, después de la instalación, modifica el registro de arranque maestro (MBR). Esto permite que Petya se haga cargo del proceso de reinicio normal y cargue su nota de rescate en la pantalla CHKDSK.
Petya construye un retraso, programando en lugar de forzar un reinicio, y dándose tiempo para extenderse por el sistema sin control.
Los archivos con ciertas extensiones están encriptados y efectivamente bloqueados por el usuario.
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h . hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox. vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
( Symantec )
Una clave generada aleatoriamente se usa para el cifrado, pero en realidad, no se puede usar para descifrar los archivos mencionados anteriormente, la diferencia que define entre Petya y Ransomware. Petya siempre tuvo la intención de destruir mientras Ransomware permitía la posibilidad de recuperación de datos.
Para obtener más información sobre Petya y cómo funciona, visite aquí.
Cómo sucedió el incidente de Petya Global Malware a Nuance, Merck y otros, y lo que significa para la atención médica. – OneVoiceData