Petya, un virus m¨¢s peligroso y sofisticado que WannaCry

El virus Petya, que ayer afect¨® a grandes empresas de todo el mundo es m¨¢s peligroso y sofisticado que WannaCry, aunque se base en el mismo principio de propagaci¨®n masiva a trav¨¦s de las redes locales. "Pese a que todav¨ªa no sepamos con certeza cu¨¢l es el primer equipo infectado y c¨®mo se infect¨®, sabemos que este nuevo malware usa la vulnerabilidad EternalBlue junto a lo que llamamos en ciberseguridad movimientos laterales", dice Sergio de los Santos, director de innovaci¨®n y laboratorio en Eleven Paths, unidad especializada en ciberseguridad de Telef¨®nica, a EL PA?S. "Ahora no s¨®lo busca equipos vulnerables, tambi¨¦n emplea herramientas de administraci¨®n para infectar a todos los equipos de una red si, por suerte, encuentra previamente una m¨¢quina con dichos privilegios".

No hemos aprendido pese al tir¨®n de orejas

"Nos hab¨ªamos olvidado ya de los gusanos y los ataques inform¨¢ticos siempre han estado enfocados a atacar a alguien de forma sigilosa a trav¨¦s de infecciones por email en los ¨²ltimos a?os" se?ala De los Santos. "Pero no hemos aprendido pese al tir¨®n de orejas".

El experto de seguridad de ElevenPaths se?ala que, no obstante, la parte importante del virus es su virtud de gusano. Y lo m¨¢s sorprende, ya que al igual que en el WannaCry, no se puede determinar un motivo claro. Si hubiese ¨¢nimo de lucro detr¨¢s del ciberataque, robar y vender informaci¨®n pasando inadvertido ser¨ªa mucho m¨¢s rentable. "Hacer tanto ruido no tiene sentido cuando se quiere obtener un fin, es muy extra?o", recalca.

No es una r¨¦plica de WannaCry

Es un ciberataque mejor dise?ado, menos amateur y que cuenta con estos movimientos laterales como principal novedad, "pero Petya no es un nuevo WannaCry sin interruptor de la muerte", ha aclarado el joven conocido por MalwareTech que logr¨® parar el virus con un dominio de 10 d¨®lares hace un mes. "Es un malware com¨²n que no se propaga entre diferentes redes".

WannaCry se extendi¨® empleando exclusivamente la vulnerabilidad en el protocolo de red de algunas versiones de Windows que almacenaba la Agencia Nacional de Seguridad de Estados Unidos y que filtr¨® el grupo Shadow Brokers. No hay evidencias de una propagaci¨®n entre redes ahora, pero la infecci¨®n inicial fue mayor.

"Petya se propag¨® posiblemente entre millones de ordenadores al comprometer el popular software ucraniano MeDoc, usando sus actualizaciones para instalar el virus", dice MalwareTech en su blog. "Este vector inicial no est¨¢ confirmado, incluso la compa?¨ªa lo ha negado, pero hay evidencias que sostienen este punto". Microsoft ha confirmado en su blog t¨¦cnico que MeDoc ha sido uno de los vectores iniciales de infecci¨®n a trav¨¦s de su sistema de actualizaci¨®n.

Te¨®ricamente, aunque su propagaci¨®n est¨¦ limitada a las redes locales, el h¨¦roe contra el WannaCry se?ala que te¨®ricamente es posible que escape a otras redes si la m¨¢quina infectada tiene una direcci¨®n IP p¨²blica y tiene mal configurada la subm¨¢scara de red. Es dif¨ªcil que se d¨¦ el caso, pero posible si se habla de un gran n¨²mero de infectados.