El WannaCry causó estupor en las grandes empresas por la virulencia con la que se expandió. Afortunadamente, en la mayoría de los casos quedó en un susto, y muchos de los archivos que cifró se pudieron recuperar gracias a copias de seguridad y a herramientas auxiliares que eliminaban la parte problemática del ransomware. En cambio, el reciente NotPetya es bastante más virulento en su modus operandi, y aunque en base utilice el mismo exploit que WannaCry, lo cierto es que está convirtiéndose en un problema mucho más grave cualitativamente qué WannaCry.
Tal como han apuntado los expertos, ambos usaban el exploit del conocido software de la NSA "EternalBlue", es el que ha aprovechado la variante del Petia Ransomware que ayer atacó a un buen número de empresas y entidades gubernamentales, sobre todo en Europa y en algunas regiones de Asia. Multinacionales como Maersk, Rosneft y Merck, Nivea, la Central nuclear de Chernobyl o el Banco Central Ucraniano.
La NSA ya conocía la vulnerabilidad usada por NotPetya hace 5 años
El problema con NotPetya es que a diferencia del WannaCry, es mucho más sofistica y creado para explotar algunas de las vulnerabilidades más fundamentales en lo que se refiere a la construcción de redes corporativas, quizás no se trata de una forma de infectar tan brutal como WannaCry, cuya expansión fue muy acelerada, pero su sofisticación era un poco más chapucera que lo que se han encontrado los investigadores en torno al NotPetya, lo que está poniendo en aprietos a muchas de las organizaciones afectadas que tratan de recuperar los datos más recientes de los que no tienen copia de seguridad. Es más virulento, y su acción es mucho más dañina al forzar el reinicio de la máquina y cifrar toda la tabla de Windows:
https://twitter.com/HackingDave/status/879736303922933760
Y es que como apuntan en The Verge, donde WannaCry buscaba penetrar en sistemas mal parcheados, NotPetya parece haberse enfocado en la redes corporativas, lo que explicaría el patrón de propagación del malware: una vez que un solo ordenador en una red estaba infectado, el ransomware aprovecha las herramientas de red de Windows, como Windows Management Instrumentation (WMI) y PsExec para infectar otros equipos de la misma red.
El aspecto más preocupante es cómo este ransomware se metió en los sistemas afectados, y es que poco se sabe del asunto. Lo único apostillado por Talos Intelligence, es que se ha propagado a través de una actualización falsa a un sistema de contabilidad de Ucrania llamada Medoc.