WannaCry 2.0: el ransomware Petya ataca a nuevas empresas de España y Europa

Virus

Hace un mes y medio, un ciberataque a Telefónica y a multitud de empresas a nivel mundial sembró el pánico en muchas empresas españolas. Un ransomware llamado WannaCry cifró y bloqueó el acceso a unos cuantos ordenadores. Ahora, una nueva versión de otro ransomware llamado Petya está llegando a nuevas empresas en España y múltiples países de Europa.

Empresas de decenas de países, afectadas por un nuevo ataque de ransomware

De momento, en España está confirmado que están afectadas Mondelez (empresa de alimentación dueña de marcas de populares galletas como Oreo y Chips Ahoy) y DLA Piper (uno de los mayores bufetes de abogados del mundo), así como otras empresas como Maersk, la gran empresa dedicada al transporte y logística, la cual está sufriendo la infección en sus terminales APM.

Entre los países afectados por este nuevo ataque se encuentran España, Ucrania, India, Rusia y Reino Unido, a los cuales se están sumando otros tantos. Desde Ucrania, afirman que el ataque está siendo muy fuerte y tiene como objetivo todo tipo de empresas, como bancos, en el que afirman que es el mayor ciberataque de su historia.

petya-ransomware

El banco central del país ha confirmado que de momento hay bancos y empresas (entre ellas la compañía eléctrica estatal) que se encuentran afectados, así como la empresa estatal de correos, medios de información, cadenas de televisión, las webs de la policía y el aeropuerto de Boryspil, en Kiev. Incluso el Vice Primer Ministro ucraniano, Pavlo Rozenko, ha puesto una foto en su cuenta de Twitter mostrando que el ransomware ha afectado también a ordenadores del gobierno.

Los operadores de telecomunicaciones ucranianos tampoco se escapan, y de momento está confirmado que están afectados Kyivstar, LifeCell y Ukrtelecom.

Una variante del ransomware Petya, causante de nuevos ataques a empresas

La nueva versión del ransomware fue compilada al parecer el pasado 18 de junio, y solicita un rescate de 300 dólares en Bitcoin para recuperar acceso al ordenador. En el anterior ataque de WannaCry de mayo, los atacantes no desbloquearon ninguno de los ordenadores infectados, aunque de momento hay seis personas que han ingresado el dinero correspondiente a la dirección del atacante. (Actualización a las 18:12; ya son 13 pagos los realizados, equivalentes a casi 4.000 dólares)

El ransomware utilizado parece ser una variante de Petya llamada Petwrap, y estaría destinado a ordenadores con Windows, aprovechándose de alguna vulnerabilidad en versiones antiguas no parcheadas. Según apunta The Hacker News, se aprovecharía de la misma vulnerabilidad en Windows SMBv1 que WannaCry, la cual Microsoft dijo que iba a eliminar del sistema operativo para evitar ataques de este tipo. La vulnerabilidad fue parcheada en marzo para los sistemas operativos más recientes, y en mayo para XP y versiones antiguas de Windows Server. El origen del ransomware se encuentra en Eternalblue, una de las herramientas de hackeo usadas por la NSA y filtradas por Shadow Brokers.

Actualización: según los análisis que se están realizando de los archivos infectados, el foco de infección son archivos de Excel o Word que aprovechan la vulnerabilidad de Office CVE-2017-0199.

Petya, a diferencia de WannaCry, lo que hace es cifrar el MFT (Master File Table) del disco duro, dejando el MBR (Master Boot Record) inoperable, e impidiendo el acceso al sistema a través de cifrar información sobre los nombres de archivos, tamaños y localización de los mismos en el disco duro. Además, Petya reempalza el MBR con su propio código malicioso con la nota del rescate

Empresas como DLA Piper han mandado a sus trabajadores a casa y han desconectado sus ordenadores por completo, así como el correo corporativo y todo lo que tenga que ver con la comunicación y el uso de medios digitales para evitar que se filtre información o se cifren más dispositivos.

De momento, según informa Expansión, el origen de la infección se encuentra en emails de phishing con enlaces maliciosos que contenían el ransomware, el cual pasa a propagarse por dispositivos conectados a la misma red local con WMIC y PSEXEC una vez ha infectado un ordenador. Este es el motivo por el cual sistemas parcheados con todas las últimas actualizaciones instaladas pueden verse afectados incluso por este ataque.

Escrito por Alberto García

Fuente > AP

Continúa leyendo