Etiqueta: NotPetya

NotPeyta, ¿un acto de ciberguerra?

El ataque NotPetya, ¿fue malware?, ¿Ransomware?, ¿destructor de información? Algo de lo que no cabe duda es éste devastó los sistemas informáticos en toda Ucrania y luego se extendió a otros países, infectando y cerrando firmas de abogados, supermercados, agencias de publicidad, cajeros automáticos, hospitales, entre otros.

Días después del ataque, investigadores en seguridad informática todavía están tratando de averiguar qué es exactamente NotPetya. Sin embargo, independientemente del análisis técnico final, la gran pregunta sigue siendo: ¿Fue NotPetya un acto de ciberguerra?

 

Ransomware? ¿destructor? ¿Qué fue realmente?

En este punto, está claro que NotPetya es malware, ¿pero es ransomware o un destructor de información? Aquí es donde las cosas empiezan a complicarse.

NotPetya no es exactamente un destructor de discos duros, pero ciertamente no es ransomware tampoco.

El problema es que NotPetya no elimina datos con una intención clara como un limpiador, digamos, como Shamoon y KillDisk. NotPetya tampoco cifra archivos con la intención de exigir un rescate por las claves de descifrado como lo haría el ransomware normal.

NotPetya encierra los archivos y se deshace de la llave, asegurando que las víctimas nunca puedan recuperar sus sistemas. De esta manera, los archivos cifrados son sometidos básicamente a un método de borrado. Por lo tanto, se podría decir que una infección ransomware que no deja posibilidad alguna de recuperación y el descifrado de archivos es equivalente a un limpiador.

Por ahora, la mayoría de los investigadores de seguridad insisten que esto fue un trabajo de borrado. MattSuiche fundador de Comae Technologies publicó un análisis titulado: “Petya.2017, un trabajo de borrado y no de Ransomware”; por otro lado,KasperskyLabspublicó otro similar denominado: “ExPetr / Petya / NotPetya es un limpiador, no Ransomware”

Sin embargo, considero que NotPetya se describe mejor como un ataque híbrido o tal vez uno de tipo ransom-wiper-ware

¿Ataque cibernético dirigido contra Ucrania?

Habiendo establecido que no sabemos cómo clasificar el ataque, vamos a sumergirnos en aguas aún más turbias. ¿Fue NotPetya un ataque cibernético dirigido contra Ucrania? En los últimos meses, vimos el objetivo de CrashOverride y derribar la red eléctrica de Ucrania, seguido de cuatro ataques maliciosos sucesivos y altamente enfocados en Ucrania que estaban vestidos para parecer un ransomware. Estos incluyen XData, PSCrypt, NotPetya y un ataque aún sin nombre descubierto por el investigador de seguridad MalwareHunter, que fue diseñado para parecerse a WannaCry, pero de hecho es algo completamente nuevo.

Este cuarto ataque también parece haber utilizado un método de entrega similar a XData y NotPetya: los servidores de actualización de M.E.Doc, un popular paquete de software de contabilidad ampliamente utilizado en Ucrania. Aunque M.E.Doc lo niega vehementemente, Microsoft y Talos, entre otros, han señalado a la compañía como la fuente de la distribución inicial de NotPetya.

NotPetya ha sido el ataque informático más devastador hasta el momento, con el vector de entrega altamente dirigido a infectar a las empresas y víctimas corporativas en Ucrania. El problema con un malware como este es que una vez que se libera en la naturaleza, puede propagarse a otros sistemas, redes y países por sí solo. Entonces, ¿estaba dirigido o no? La respuesta es inconclusa “probablemente” en este punto.

Sin una atribución positiva, el creciente consenso es que la responsabilidad recae en un actor estatal o suplente. Un número de investigadores de seguridad líderes han sugerido esto, incluyendo el NATO Cooperative Cyber Defence Centre of Excellence que emitió una declaración el 30 de junio confirmando:

“NotPetya probablemente fue lanzado por un actor estatal o un actor no estatal con apoyo o aprobación de un estado. Otras opciones son poco probables. La operación no fue demasiado compleja, pero aun así compleja y costosa de haber sido preparada y ejecutada por hackers no afiliados por el bien de la práctica. Los delincuentes cibernéticos tampoco están detrás de esto, ya que el método para recaudar el rescate estaba tan mal diseñado que el rescate probablemente ni siquiera cubría el costo de la operación “.

Esto nos lleva de nuevo a la pregunta inicial. Si probablemente fue lanzado por un actor estatal o un sustituto y que probablemente estaba dirigido a Ucrania, y probablemente estaba destinado a causar daños económicos generalizados e indiscriminados, ¿NotPetya fue un acto de ciberguerra?

La razón es muy importante para determinar si fue o no un acto de guerra y de ser así, que pasos tomará la OTAN para proteger la seguridad a la que siempre se ha comprometido. La defensa colectiva, tal como se define en el artículo 5 del tratado, se reduce a: Un ataque contra un aliado es considerado como un ataque contra todos los aliados. Por lo tanto, un sólido sí con abundante evidencia tendría graves consecuencias políticas y militares.

 

¿Un acto de ciberguerra?

Aunque muchos indicadores muestran que NotPetya era un limpiador disfrazado de ransomware, así como un ataque cibernético dirigido a causar destrucción generalizada en Ucrania por un actor estatal o suplente, sin una definición técnica clara y sólo pruebas circunstanciales y sin atribución clara, ¿puede realmente ser considerado un acto de ciberguerra?

La OTAN dice, “probablemente no”: “Si la operación pudiera vincularse a un conflicto armado internacional en curso, entonces se aplicaría la ley de los conflictos armados, al menos en la medida en que las lesiones o daños físicos fueran causados ​​por ella y con respecto a la posible participación directa en hostilidades por parte de hackers civiles, Pero hasta ahora no hay informes de ninguno.

Hay una falta de un elemento coercitivo claro con respecto a cualquier gobierno en la campaña, así que la intervención prohibida no entra en juego. A medida que se van dirigiendo los sistemas gubernamentales importantes, en caso de que la operación se atribuya a un estado, esto podría considerarse una violación de la soberanía “. – TomášMinárik, investigador de la CCD de la OTAN

Seamos sinceros. La OTAN no va a hacer una llamada clara sobre quién está exactamente detrás de esto en el corto plazo. La cantidad actual de pruebas circunstanciales probablemente no sería suficiente para conseguir ser lo suficientemente concluyente como para llamar a un estado-nación específico por haber cometido un crimen internacional. Para acercarnos a declarar que esto es un acto de ciberguerra, hay muchos detalles que necesitan ser investigados a fondo y probados y, hasta ahora, no estamos muy cerca de lograrlo.

 

Si no es un acto de ciberguerra, ¿qué es NotPeyta?

La OTAN saldrá perpleja y dirá que “[NotPetya] podría ser un hecho internacionalmente ilícito, que podría dar a los estados objetivo varias opciones para responder con contramedidas”.

Si esto es cierto y la comunidad internacional llega a la conclusión de que NotPetya es un “hecho internacionalmente ilícito” con arreglo al derecho internacional, podría dar lugar a una respuesta conjunta de la UE en forma de sanciones. El Consejo Europeo emitió un comunicado de prensa al respecto, señalando, además:

La respuesta diplomática de la UE a actividades cibernéticas maliciosas hará pleno uso de las medidas de la Política Exterior y de Seguridad Común, incluidas, en su caso, medidas restrictivas. Una respuesta conjunta de la UE a actividades cibernéticas maliciosas sería proporcional al alcance, la escala, la duración, la intensidad, la complejidad, la sofisticación y el impacto de la actividad cibernética.

La UE reafirma su compromiso con la solución pacífica de controversias internacionales en el ciberespacio. En este contexto, todos los esfuerzos diplomáticos de la UE deben tener como objetivo prioritario promover la seguridad y la estabilidad en el ciberespacio mediante una mayor cooperación internacional y reducir el riesgo de malentendidos, escalada y conflictos que pueden derivarse de incidentes relacionados con las TIC.

En el caso de que no fuera ni un acto de guerra cibernética ni un “hecho internacionalmente ilícito”, ¿cómo podríamos llamarlo ahora? LauriLindström, investigadora de la Sección de Estrategia del COE de la CCD de la OTAN, llegará tan lejos como para decir que se trataba de una “declaración de poder” y que el ataque era simplemente una “demostración de la capacidad disruptiva adquirida y disposición a utilizarla”.

¿Declaración de poder?¿Qué significa eso? La parte de tecnología era fácil, pero cualquier cosa sobre la capa 7 también está por encima de mi nivel de pago y comprensión. Lo que sí creo que significa es que nadie sabe realmente qué hacer cuando se trata de cibercriminales como los que perpetraron este ataque.

Desafortunadamente, mientras todo esto sucede, los consumidores, los ciudadanos, las empresas y los gobiernos seguirán estando en peligro y deberán considerar invertir en una postura de seguridad basada en la visibilidad para que puedan detectar mejor y responder rápidamente a todo lo anterior: Ciberataques, actos internacionalmente ilícitos y declaraciones de poder.

 

Por: Kevin Magee,

Global Security Strategist,

Gigamon.

 

Gigamon ayuda a detectar variantes de NotPeyta Ransomware en la red

El reciente rescate de NotPetya ha interrumpido instalaciones como las redes eléctricas y de instituciones financieras de todo el mundo. Los primeros análisis demuestran que se trata de una versión actualizada de la versión anterior del ransomware, WannaCry.

Como con WannaCry, NotPeyta también utiliza SMB (Server Message Block) Sin embargo, a diferencia de WannaCry, también cifra el Master Boot Record (MBR) del huésped. Se propaga utilizando el exploit EternalBlue. Después de un reinicio, el host se bloquea y niega el acceso del usuario. El ransomware aprovecha el hecho de que SMB funciona en el puerto 445, que generalmente se deja abierto para compartir archivos. Antes de que la explotación actual atraviese la red, intentará abrir las conexiones al puerto TCP 445.

 

GigaSECURE ofrece detectar vulnerabilidades en la red

La plataforma de seguridad de Gigamon GigaSECURE puede ayudar a segregar el tráfico SMB en su red para su inspección por herramientas de seguridad. Utilizando GigaSECURE Flow Mapping Engine, un administrador puede extraer flujos relevantes en la red que coincidan con el puerto TCP 445, enviando sólo tráfico SMB a herramientas de seguridad para inspección, reduciendo así el ruido para optimizar el rendimiento de la herramienta.

Figura 1: Extracción de flujos relevantes en los puertos TCP 445 y 139 para enviar a herramientas de seguridad.

Filtrado de sesión de aplicaciones

Adicionalmente, el filtrado de sesión de aplicaciones de Gigamon (Gigamon Application Session Filtering), puede buscar sistemas que utilizan SMBv1 y permitirle migrar a SMBv2 o aislarlos hasta que pueda migrar. Con ASF, puede detectar tráfico SMBv1 utilizando nuestros criterios de filtrado. Para detectar SMBv1, el filtro apropiado \ xFF \ x53 \ x4d \ x42 se puede utilizar en la plataforma de entrega de seguridad GigaSECURE.

Figura 2: Filtrado de tráfico SMBv1 para enviar a herramientas de seguridad.

Ahora que se ha llegado a la configuración de esto, podrá detectar y procesar cualquier tráfico que coincida con esta regla.

 

Recuerde: Confíe, pero verifique.