28-06-2017

Por qué es imposible frenar la expansión del virus detrás del último gran ciberataque

Tweet

La creación de un solo archivo puede impedir que el ataque infecte una computadora. Sin embargo, los investigadores no han sido capaces de encontrar un llamado "interruptor de matar" que evitaría que el ransomware -un programa malicioso que bloquea archivos y exige cobrar a cambio- se propague a otros equipos vulnerables.

Los expertos aún no están seguros de los orígenes del ransomware Petya o de su verdadero propósito.

Dado que la cantidad pedida para el rescate -US$300- era relativamente pequeña, algunos especulan que el ataque puede ser un frente para causar una interrupción más amplia o hacer una declaración política.

Entre las víctimas del ataque están el Banco Central de Ucrania, el gigante ruso Rosneft, la firma de publicidad británica WPP y el bufete de abogados estadounidense DLA Piper.

Otra víctima del ataque fue un hospital en la ciudad de Pittsburgh, Estados Unidos.

Solución casera

Para los que están preocupados por el ataque, parece que hay un arreglo, aunque de eficacia limitada.

Al crear un archivo de sólo lectura, denominado Perfc, y colocarlo en la carpeta "C: \ Windows" de una computadora, el ataque se detendrá.

Una explicación de cómo hacer esto ha sido publicada por el sitio web de noticias de seguridad Bleeping Computer y ha sido respaldada por varios otros expertos en seguridad.

Sin embargo, aunque este método es eficaz, sólo protege la computadora individual en la que se coloca el archivo Perfc.

Los investigadores hasta ahora han sido incapaces de localizar "un interruptor de matar"que desactivaría el ataque ransomware por completo.

"A pesar de que hará que una máquina sea inmune, sigue siendo 'portadora'", explicó el científico de computación Alan Woodward.

"Seguirá actuando como una plataforma para distribuir el ransomware a otras máquinas en la misma red".

Para la gran mayoría de los usuarios, simplemente ejecutar una versión actualizada de Windows será suficiente para evitar que el ataque ocurra.

Es probable que la propagación de este nuevo ransomware sea mucho más lenta que el ataque WannaCry del pasado mayo ya que el análisis de código mostró que el nuevo ataque no intentó propagarse más allá de la red en la que fue colocada, según investigadores. Debido a esto, varios expertos están prediciendo que el ataque no se extenderá significativamente a menos que se modifique.

"Hay un bajo riesgo de nuevas infecciones más de una hora después del ataque", sugirió el blog de MalwareTech.

MeDoc

Entonces, ¿cómo se propagó? Expertos de la unidad de inteligencia de Talos Cisco creen que el ataque pudo haber sido llevado a cabo explotando software de contabilidad vulnerable.

"Creemos que es posible que algunas infecciones puedan estar asociadas con sistemas de actualización de software para un paquete de contabilidad de impuestos de Ucrania llamado MeDoc", dijo la compañía en un blog.

Y para empeorar la situación, el método por el cual las víctimas pueden pagar la tasa de rescate ya no sirve.

Una dirección de correo electrónico proporcionada por los delincuentes ha sido cerrada por el proveedor de su alojamiento, mientras que la cartera Bitcoin -donde se depositan los rescates- no ha sido tocada.

En el momento de escribir esto, la cartera contenía aproximadamente US$8.000 Bitcoin, no una gran suma para un ataque tan significativo y generalizado.

Estos factores contribuyen a una teoría que prevalece en la actualidad de que se trataba de un ataque político contra Ucrania, ya que, además, ocurrió en el momento en que el país celebraba su Día de la Constitución.

"Esto parece un sofisticado ataque dirigido a generar caos, no dinero", dijo el profesor Woodward.

Tags: