Nuevo ataque de ransomware paraliza a grandes empresas en todo el mundo, su nombre: Petya

México 27/Junio/2017

Un nuevo ataque similar al WannaCry está infectando los equipos de grandes compañías cifrando los archivos y exigiendo un rescate en bitcoin.


Pensábamos que con el WannaCry se había aprendido la lección, pero lo cierto es que en seguridad nunca se está al 100% seguro. Y es que un nuevo ransomware llamado simplemente Petya está afectando los equipos informáticos de un buen número de multinacionales, entre las que destacan la firma de abogados DLA Piper, la compañía de alimentación Mondelez, Maersk, o los la compañía farmacéutica Merck; y como en el caso del ataque de WannaCry, todavía se desconoce tanto el alcance como la autoría detrás detrás de esta infección.


Como en el ataque anterior, los equipos infectados con Petya Ransomware han sufrido un cifrado de sus archivos y resulta imposible acceder al sistema operativo, puesto que lo único que se muestra es un mensaje que reza: “Si puedes leer este texto, tus archivos ya no están disponibles, ya que han sido encriptados. Quizá estás ocupado buscando la forma de recuperarlos, pero no pierdas el tiempo: nadie podrá hacerlo sin nuestro servicio de desencriptación”.

Fragmento de lo que cifra “Petya” dejando un problema al usuario para la recuperación de los archivos.

 

Que hace?

Lo que hace Petya es cifrar el MFT (Master File Table) del disco duro. Esto deja el MBR (Master Boot Record) inoperable, se cifra la información sobre los archivos y se bloquea, de este modo, el acceso.

A su vez, Petya cambia el MBR y lo intercambia por su código malicioso donde se visualiza una nota con pedido de rescate.

Los atacantes obligan al pago de 300 dólares en bitcoin y enviar un justificante de transferencia a un dirección específica de correo, por lo que de momento, y a la espera de una solución, aceptar el chantaje parece, hasta ahora, la única forma de acceder a los archivos cifrados. Como en el caso del WannaCry, parece que el ransomware se está expandiendo por el interior de las redes corporativas de estas grandes empresas, por lo que la mayoría de ellas están comunicando a sus empleados que desconecten sus equipos:


De momento, como decimos se desconoce el alcance, pero seguiremos actualizando este artículo según se vaya recabando más información al respecto, pero además de las grandes compañías, este ransomware también ha afectado a varias entidades bancarias y empresas nacionales, según el Banco Central de Ucrania y a otras multinacionales como Nivea, GroupM, Merck o WPP.

“Casi el 10% de las empresas detectaron actividad asociada con ransomware. En un día cualquiera, un promedio de 1,2% de las organizaciones encuentran botnets de ransomware circulando dentro de sus ambientes. Los días pico de actividad fueron durante el fin de semana”, señaló Fortinet en un comunicado.

Según diversos reportes, ya son más de 80 empresas las afectadas por el Petya ransomware y repartidas por todo el globo: Reino Unido, Estados Unidos, México, Francia, Rusia, España, India y Ucrania, afectando además a diferentes sectores, desde el Banco Nacional de Ucrania hasta la la petrolera rusa Rosneft, pasando por las ya mencionadas WPP, Nivea, Auchan, DLA Piper, Mondelez… El modus operandi de Petya es diferente al WannaCry, puesto que no va cifrando los archivos individuales, lo que hace es reiniciar el sistema y cifrar toda la tabla maestra de arranque, por lo que es imposible acceder al sistema de Windows si no se paga el rescate. Además el propio ransomware es el que hace que se propague por la red local y afecte al resto de equipos.

“Conforme las redes y los usuarios continúen compartiendo información y recursos, los ataques se seguirán propagando rápidamente a través de áreas geográficas distribuidas y dentro de un amplio rango de industrias”

De momento lo único que se conoce es que, según AFP, el origen del ataque parece estar en Rusia y Ucrania, aunque no hay evidencias físicas que apunten a una autoría real dentro de sus fronteras. Se espera que en la próximas horas el ataque de la vuelta al mundo y afecte a más países y empresas, tal como sucedió con el WannaCry.

Que hacer?

Como medidas de prevención y mitigación, North Networks recomienda actualizar el sistema operativo y todas las soluciones de seguridad, así como tener el cortafuegos personal habilitado. Señala que los accesos administrativos desde fuera de la empresa sólo deben llevarse a cabo mediante protocolos seguros y apelamos a “mantener una conducta de navegación segura, empleando herramientas y extensiones de navegador web completamente actualizadas”. Asimismo, se debe “activar la visualización de las extensiones de los ficheros para evitar ejecución de código dañino camuflado como ficheros legítimos no ejecutables” y “deshabilitar las macros en los documentos de Microsoft Office y otras aplicaciones similares”.

Es imperativo contar con herramientas de seguridad y mitigación de ataques por lo que ponemos a su orden nuestras tecnologías, métodos y experiencia en la prevención, detección, erradicación, mitigación de este este y otros tipos de ciberataques.

Si usted sospecha que su red esta comprometida no dude en ponerse en contacto con nosotros, podemos hacer una valoración para determinar, detectar y contener cualquier tipo de amenaza.

Tel: 52(55) 7040.1291
soporte@north-networks.com

Petya, nuevo ransomware pone en jaque a grandes corporativos en todo el mundo..
EspañolEnglishPortuguêsDeutschNederlandsFrançaisItalianoРусский简体中文العربية