De acuerdo a expertos, este virus "pareciera tener una motivación más allá de la financiera", ya que apaga las computadoras y retiene la información. Y por tanto, podría ser un ransomware más peligroso que lo estamos dimensionando.

*Con colaboración de Héctor Cancino, enviado especial en Las Vegas

Este martes un nuevo ciberataque paralizó diversas empresas e instituciones a nivel global. Hablamos de Nyetya, como llaman a esta nueva variante de ransomware, que "secuestra" datos o archivos de un equipo a cambio de un rescate monetario, y que sería "más desafiante" que su antecesor WannaCry, según afirmaron especialistas. 

Esto es algo que ha recalcado especialmente el representante global e investigador de Ciberseguridad en Talos-Cisco, Craig Williams, quien estimó que en el ataque se aprovecha de una vulnerabilidad usada por la Agencia Nacional de Seguridad de Estados Unidos para espiar terminales conocida como "EternalBlue" y "otras deficiencias del sistema operativo de Microsoft" para expandirse.

No obstante, el vector inicial de este malware no es tan simple como otros ataques previos, pues aún no existe claridad de su base y está representando un desafío para investigadores a nivel global. Por el momento, según reveló Williams en conversación con AETecno, ya se sabe que el malware tiene tres mecanismos usados para propagarse una vez que el dispositivo fue infectado: EternalBlue, el mismo exploit usado por WannaCry; Psexec, una herramienta de administración de Windows; y WMI, otro componente de Windows.

Estos mecanismos son usados para intentar la instalación y ejecución en otros dispositivos y así luego propagarlo horizontalmente, es decir, de manera interna en las redes propias de la organización. Esto significa que el virus puede pasar de computador a computador dentro de una empresa, pero a diferencia de WannaCry, no puede buscar al azar en Internet a sus próximas víctimas, lo que limita su alcance del contagio.

“Cuando piensas desde esa perspectiva, es significativamente más avanzado que WannaCry, pues este tenía un sólo vector, en cambio el nuevo ataque tiene tres. Es significativamente peor y más violento. Es una situación realmente mala”, señaló Williams desde el Cisco Live que se desarrolla por estos días en Las Vegas.

Un virus diferente

Nyetya se manifestó primero en Ucrania, donde infectó de forma silenciosa los computadores de usuarios que descargaron un popular paquete de contabilidad de impuestos o visitaron un sitio web local de noticias, según la policía nacional y expertos informáticos internacionales.

En ese minuto el programa maligno bloqueó máquinas y exigió a las víctimas que pagaran un rescate por US$300 en bitcoins o perdieran completamente sus datos, algo similar a la táctica de extorsión que usó en mayo el ataque global de "ransomware" WannaCry. 

Si bien hasta el minuto alrededor de 30 víctimas ya pagaron por este ataque, Willams asegura que Nyetya "no parece tener una motivación financiera, ya que básicamente está atacando los negocios que tienen contacto con el gobierno de Ucrania que pagan impuestos el día previo a la Constitución de este país. Hay una pequeñísima lista de personas que pienso que puedan estar detrás de esto y parecer ser esa la motivación principal”, advirtió el ejecutivo de Talos-Cisco.

¿Qué nos espera?

Esto no significa que debamos tranquilizarnos. De acuerdo Mikko Hypponen, director de investigación de la compañía de seguridad informática finlandesa F-Secure, citado por Yle, "la propagación de este malware terminará cuando acabe de contaminar todos los sistemas a los que pueda entrar".

¿Por qué? Principalmente porque no tiene ningún servidor central que pueda utilizarse para detenerlo. "Desafortunadamente no vemos que haya una solución (como la de WannaCry) para esto. Así que de seguro no hay un sencillo Kill switch (apagado de emergencia) en este caso", concuerda Williams de Cisco.

No obstante, Hypponen asegura que Nyetya no es un problema para los usuarios domésticos, dado que los sistemas que utiliza para su propagación normalmente los utilizan grandes compañías.

De esta manera, y para finalizar, el investigador de Cisco complementa esta idea con un análisis sobre estos últimos grandes incidentes de seguridad. "Si esto no fue una llamada de atención para los negocios, no sé qué lo será. Para ser honesto, es probablemente la mayor evolución de malware en los últimos cinco años".