¿Por qué fue tan exitoso este particular troyano? ¿Qué tenía de especial?
El ataque fue bien preparado por sus autores. NotPetya inicialmente se extendió a través del software de contabilidad M.E.Doc cuando los ciberdelincuentes piratearon su mecanismo de actualización para difundir NotPetya a los sistemas cuando se actualizó el software. Esta fue una amarga paradoja, ya que siempre se recomienda a los usuarios actualizar su software, pero en este caso particular, un actualizador troyanizado de este software inició la cadena de infección.
Este tipo de ataque de la cadena de suministro no era común en ese momento, lo que causaba un retraso en averiguar la causa original del ataque. La velocidad a la que se propagó a través de las redes infectadas fue fascinante.
El troyano supuestamente se estaba aprovechando de una vulnerabilidad conocida desde hace mucho tiempo: ¿(Qué) han aprendido las empresas / organizaciones de esto?
Para su movimiento lateral, NotPetya empleó tres métodos de propagación diferentes: explotando EternalBlue (conocido de WannaCry), explotar EternalRomance y recursos compartidos a través de la red de Windows, utilizando las credenciales robadas de la víctima (esto se hizo con una herramienta tipo Mimikatz incluida, que extrae contraseñas) y herramientas legítimas como PsExec y WMIC.
Estas técnicas adicionales, que incluyeron la explotación de vulnerabilidades conocidas para las que los parches estuvieron disponibles durante mucho tiempo, probablemente fueron la razón por la que tuvo éxito, a pesar de que EternalBlue llamó la atención después del ataque WannaCry menos de dos meses antes del ataque NotPetya.
Solo puedo esperar que las compañías aprendieron a actualizar sus sistemas operativos y aplicaciones tan pronto como una actualización esté disponible, a pesar de que NotPetya, desafortunadamente, se propagó a través de una actualización del producto.
¿Podría la propagación volver a ocurrir de esta forma en cualquier momento?
Es solo cuestión de tiempo antes de que haya otro brote de malware importante, cuándo y qué tan extendido será el ataque depende de múltiples factores, incluida la disponibilidad de un exploit de alta calidad como EternalBlue, el actor del malware, y su motivación.
Microsoft realizó un buen trabajo al parchar EternalBlue, y la vulnerabilidad se encuentra ahora solo presente en viejos sistemas como Windows 7 y Windows XP. The las PCs que Avast escaneó en mayo 23 a junio 22 de 2020, solo 4% en todo el mundo funciona con EternalBlue, en México es un 7.1%.
¿Cómo pueden protegerse las organizaciones?
Hay muchas medidas que las empresas pueden tomar para protegerse de los hackers. Las empresas deben asegurarse de tener varias capas de defensa, incluidos antivirus, firewall, detección de intrusos, actualizar su firmware y software de forma regular e implementar derechos de acceso de uso adecuados para sus empleados. Además, las empresas deben evaluar el software que utilizan, asegurándose de que el software que utilizan continúe recibiendo actualizaciones de seguridad.
También es extremadamente importante para las empresas tener en cuenta el factor humano al considerar la mejor manera de asegurar su negocio. Los humanos cometen errores y a los piratas informáticos les gusta explotar los errores humanos, por lo que es vital que las empresas discutan las mejores prácticas de seguridad con sus empleados.
Las pruebas de penetración son una excelente manera para que las empresas vean dónde están sus debilidades y qué piratas informáticos podrían explotar dentro y fuera de línea. Las pruebas de penetración deben realizarse varias veces al año, ya que los piratas informáticos siempre están buscando y encontrando nuevas formas de introducirse en las empresas.
Finalmente, pero igual de importante, las empresas deben mantener copias de seguridad de sus datos. Existen diversas y posibles soluciones de respaldo, desde almacenamiento en la nube a discos duros externos, almacenamiento de dispositivos de red a USB o unidades flash.
La cantidad de copias de seguridad que tiene una empresa es tan importante como el lugar de la copia de seguridad. Guardar información en dos ubicaciones, en la nube y en un disco duro externo físico, puede ayudar a mantener la información más segura.
Cuando se utiliza un disco duro externo, es importante desconectarlos y almacenarlos en un lugar seguro después del proceso de copia de seguridad para mantener la información protegida contra malware como el ransomware, que puede propagarse desde las computadoras a los dispositivos conectados.
Por último, una de las mejores e importantes prácticas de trabajo, es habilitar cualquier opción de copia de seguridad automática ofrecida por la mayoría de los servicios de almacenamiento en la nube. Esto garantiza que los datos se respalden y protejan automáticamente, eliminando cualquier tentación de presionar el botón “Recordarme más tarde”.