Petya Ransomware

Un nuevo ataque masivo de corte similar al del ransomware WannaCry que paralizo a cientos de empresas, esta siendo llevado a cabo desde la mañana de este martes 27 de junio. En esta ocasión, los atacantes están utilizando el ransomware conocido como Petya. De momento se desconoce el alcance de este nuevo ataque.

Entre las empresas y entidades afectadas se encuentran A.P. Moller-Maersk, Rosneff, DLA Piper, Mondelez, Maersk, los laboratorios Merck, así como el aeropuerto, el metro y el banco central de Ucrania quien emitió su propio comunicado. Los sistemas y operaciones de estas y otras empresas se encuentran fuera de servicio, y en el caso de los aeropuertos es posible se experimenten retrasos en los vuelos.

Según han descrito varios de los afectados, la suma que están pidiendo por el rescate de los archivos es de $300 en Bitcoins. A la fecha, la cartera de Bitcoins a la que hay que enviar los pagos ha recibido ya 8 pagos, pero no es seguro si estos han podido recuperar el control de sus archivos.

Si bien el origen del ataque masivo es desconocido, se sabe que el ransomware utilizado Petya fue detectado a principios de este año. Dos firmas independientes, por su parte, han explicado que Petya se esta distribuyendo a través del exploit EternalBlue, utilizado también por el ransomware WannaCry que hace unos meses causo serios estragos en cientos de empresas.

El exploit EternalBlue fue publicado en abril de este año por el grupo de hackers Shadow Brokers quienes revelaron este y otros exploits utilizados por la NSA para perpetrar ataques de ciberespionaje. EternalBlue es una vulnerabilidad que apunta al sistema para compartir archivos mediante SMB en Windows. Dicha vulnerabilidad ha sido parcheada, así que todas las victimas podrían ser ordenadores que no se han actualizado.

Si sospechas que tu antivirus no está funcionando, Norascan te dará una segunda opinión

Sobre Petya en si, este ransomware al igual que la mayoría de su tipo, encripta los archivos del ordenador que logra infectar y deja un mensaje en el que insta a los administradores a pagar una suma de dinero vía Bitcoins para obtener las claves de desencriptación:

Si puedes leer este texto, tus archivos ya no están disponibles, ya que han sido encriptados. Quizá estás ocupado buscando la forma de recuperarlos, pero no pierdas el tiempo: nadie podrá hacerlo sin nuestro servicio de desencriptación

La firma en seguridad FireEye ha descrito ademas que una particularidad de Petya es de que no encripta los archivos individuales del sistema de las víctimas, sino que que en su lugar sobrescribe el máster boot récord (MBR) y encripta el master file table (MFT) del disco donde esta instalado el sistema operativo.

Ucrania ha calificado el ataque como el mas grande en su historia, y CCN-CERT, el centro criptológico de España, ha subido el nivel de alerta a Muy Alto. El CERT también ha publicado una serie de recomendaciones que vale la pena leer. Por supuesto hay que recordar a todos los usuarios de sistemas operativos Windows que la primer medida es tener las actualizaciones en orden.

Con todo esto, algo de humor por parte de las propias autoridades nunca viene mal, y siendo Ucrania uno de los países donde más agencias gubernamentales se han visto afectadas publicaron un meme épico:

Más en TekCrispy