El CNI confirma que ninguna empresa española estratégica o pública se ha visto afectada por el virus Petya

El Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI), ha confirmado este miércoles que el CERT Gubernamental Nacional no ha detectado «ningún organismo del sector público o empresa estratégica española» que se haya visto afectado por el ciberataque del virus ransomware Petya producido este martes.

En un comunicado para hacer balance de la situación una día después del ataque, el CCN-CERT explica que la campaña utiliza una posible variante englobada en la familia Petya (también llamado Petya, Petna, PetrWrap, Nyetya y NotPetya), así como que sus primeros casos se detectaron en empresas ubicadas en Ucrania y afectó posteriormente a algunas multinacionales con sede en España.

El organismo del CNI explica que el código dañino utilizado en este ciberataque es «más sofisticado» que en el caso de Wannary y, en esta ocasión, podría tratarse de «un ataque más dirigido», ya que la detección inicial del mismo fue localizada con una rápida expansión posterior.

Además, apunta que da la sensación de que el agresor «no parece pretender obtener un beneficio económico, sino perjudicar a las víctimas», ya que no ha adoptado las medidas habituales para conseguir el anonimato y la disponibilidad del servicio de cobro propia de otras campañas de cibercrimen.

A este respecto, añade que el proveedor de servicio de Internet ha bloqueado la dirección de correo utilizada para el pago del rescate, por lo que las víctimas no pueden obtener las claves de recuperación al inhabilitar la vía de comunicación con el atacante.

Por otro lado, informa de que los sistemas operativos objetivo son los de Windows y como hipótesis de vectores de infección se han planteado dos posibilidades por confirmar: un correo electrónico de spear phishing con un fichero adjunto que explotaría la vulnerabilidad de Microsoft o una actualización dañina de un programa comercial destinada al ámbito financiero.

El CCN explica que tras la infección inicial en un equipo, el código dañino intenta obtener privilegios y continúa con un reconocimiento de la red local en busca de otras máquinas para propagarse usando diferentes vías.

En las pruebas realizadas en sistemas Windows 10 con privilegios de administrador, el código dañino es detectado y bloqueado por Windows Defender.

Respecto a la vacuna ante el virus, indica que el investigador Amit Serper (0xAmint) ha explica que, para evitar la infección por una de las variantes conocidas, existe la opción de crear en el equipo varios ficheros (con los nombres perfc.dat, perfc.dll y perfc) en la carpeta c:\Windows. De esta manera el binario interpreta que ya tiene la librería infectada y detiene el procedimiento de infección.

Por otro lado, el CNI recomienda para evitar verse afectado aplicar los parches de seguridad existentes para MS Office y sistemas Windows, mantener actualizados las aplicaciones antivirus, realizar copias de seguridad o extremar las precauciones para evitar acceder a correos o enlaces no legítimos, entre otras.

En el caso de la detección temprana de una infección, aconseja apagar el ordenador lo más rápido posible y, si ya se hubiera iniciado la propagación a otros equipos, aislarlos en redes VLAN sin conectividad con otras redes.

En general, el CCN-CERT recuerda que efectuar el pago por el rescate del equipo no garantiza que los atacantes envíen la utilidad y/o contraseña de descifrado, sólo premia su campaña y les motiva a seguir distribuyendo masivamente este tipo de código dañino. En cualquier caso, en esta campaña se ha inhabilitado el medio de pago proporcionado por el atacante.

En el caso de que se hayan visto afectados por esta campaña y no dispongan de copias de seguridad, se recomienda conservar los ficheros que hubieran sido cifrados por la muestra de ransomware antes de desinfectar la máquina, ya que no es descartable que en un futuro apareciera una herramienta que permitiera descifrar los documentos que se hubieran visto afectados.