Malware Nyetya: una muestra de los ataques por venir

 

Recientemente, un desarrollo sumamente preocupante en el área de la ciberseguridad ha sido la evolución del ransomware. Cada vez, los hackers llevan sus creaciones a mayores niveles de sofisticación e impacto.

 

La cantidad y la variedad sigue en aumento, y los móviles de los atacantes también cambian, de modo que, también se perpetúan incidentes con el único objetivo de generar caos. En gran medida el premio dejó de ser el pago de un rescate, sino la destrucción de sistemas bajo amenaza.

 

Bajo esta línea, con la llegada de los ransomware worms basados en la red se eliminó la necesidad de la intervención humana como trigger de la campaña ransomware, actividad de la cual empresas líderes, como Cisco, esperan ver un aumento en los años por venir. 

ny4

De esta manera, apareció en 2017 y se esparció durante todo 2018, el malware Nyetya, que además, se hizo pasar por ransomware y utilizó las vulnerabilidades - o exploits - de ejecución remota como EternalBlue y EternalRomance.

 

En principio, su engaño consistió en el despegue de una campaña de correos masivos por medio de los cuales se anuncia la actualización de un software de un paquete utilitario; en su principio cuando se desarrolló en Ucrania, se trataba de un software de impuestos utilizado por la mayoría de empresas de ese país, en que fue instalado en más de 1 millón de computadoras.

 

Posteriormente con los vectores utilizados para su propagación automática, lo único necesario era una unidad de trabajo - principalmente computadoras comunes - sin parches de seguridad. Así, por medio de la red, resultó fácil lanzar campañas de ransomware sin interacción humana de por medio.

 

Así, junto con WannCry, el malware Nyetya pasó de ser un atacante tipo worm que podía ser fácilmente desmantelado a convertirse en un incidente de cuidado, que ha sido calificado por los investigadores de Cisco con “potencial para derribar Internet”.

 

Sin embargo, también indican que ambos malware pudieron ser prevenidos, o su impacto reducido, si las organizaciones y compañías implementaran las medidas de ciberseguridad recomendadas.

 

Para esto, es siempre importante evaluar la seguridad de sus activos, contar con, al menos, un sistema básico de protección, y aplicar prácticas básicas como el parcheo de exploits, establecimiento de procesos y políticas tanto para la respuesta a incidentes como el uso diario de los sistemas.

 

Identifique su nivel de seguridad empresarial con este test gratuito

 

ny1

Otro motivo por el cual el malware Nyetya logró infectar a tantas computadoras es que atacó las cadenas de suministro, se ubicó de tal manera que al formar parte de una actualización automatizada no pudo ser identificada como un riesgo a la ciberseguridad del sistema. En este caso, el suministro era esa actualización.

 

Por ejemplo, en septiembre de 2017, el software CCleaner 7, que es conocido como legítimo y seguro, fue víctima del malware Nyetya, debido a que sus binarios que contenían una puerta trasera troyana fueron utilizados como cobertura. Además, por tratarse inicialmente de paquetes legítimos del software, daba la confianza al usuario de estar realizando acciones seguras.

 

Como siempre, lo más recomendado es que el usuario se tome el tiempo de asegurarse de haber analizado lo suficiente el software que está por descargar o actualizar. Esto puede ayudar a contener el incidente y evitar que se propague por toda la compañía u organización

 

Aun así, las empresas líderes, como la mencionada Cisco, advierten que WannaCry y Nyetya son apenas una muestra del tipo de ciberataque que está por venir. Por esto, las empresas y los defensores encargados en cada una de ellas, debe prepararse. Adquirir un sistema completo de ciberseguridad y capacitar a sus usuario en buenas prácticas es un excelente primer paso.

 

Lea también: ¡Atención! El troyano Emotet resurge en campaña masiva de spam