Hace poco más de un mes, un ataque de ransomware ocupaba portadas de todo el mundo al afectar a multitud de empresas en todo el mundo. Hoy, una nueva versión del ransomware Petya ha afectado a numerosas empresas en España y múltiples países de Europa.

Aunque de momento parece que los países más afectados son Ucrania y Rusia, lo cierto es que, a medida que pasa el tiempo, son más las empresas que afirman haber sufrido “problemas” en sus sistemas. Así,  (empresa de alimentación dueña de marcas de populares galletas como Oreo y Chips Ahoy) y DLA Piper (uno de los mayores bufetes de abogados del mundo) serían por el momento las únicas empresas españolas afectadas pero si miramos al resto de países de Europa la cosa se complica: 

Petya mapa

Desde Ucrania, afirman que el ataque está siendo muy fuerte y tiene como objetivo todo tipo de empresas, entre las que destaca la compañía eléctrica estatal, varios bancos nacionales, la empresa estatal de correos, medios de información, cadenas de televisión, las webs de la policía y el aeropuerto de Boryspil, en Kiev.

Los operadores de telecomunicaciones ucranianos tampoco se salvan: Kyivstar, LifeCell y Ukrtelecom han sido afectados. Además, el ransomware ha alcanzado al gobierno y es que el Vice Primer Ministro ucraniano, Pavlo Rozenko, ha mostrado que el ransomware ha afectado también a ordenadores del gobierno.

La infección no queda ahí: compañías de medio mundo ya han anunciado la infección, entre ellas multinacionales como grupo WPP en Inglaterra, Nivea, Merck o Maers en Rusia o Saint-Gobain en Francia. No obstante, parece que no se han visto afectadas únicamente compañías europeas ya que diversos medios de comunicación han reportado los primeros casos en Sudamérica, por lo que podríamos estar ante un ataque a escala mundial.

¿Una variante del ransomware Petya, la culpable?

petya-ransomware-715x402

El ransomware utilizado parece ser una variante de Petya llamada Petwrap, que afecta a sistemas Windows, cifrando el sistema operativo o disco y cuya propagación es similar a la de WannaCry; Así lo ha asegurado recientemente el Centro Criptológico Nacional (CNN-CERT) quien afirma que, una vez ha infectada una máquina, el ransomware puede propagarse por el resto de sistemas conectados a esa misma red.

Para el descifrado de los archivos se solicita un rescate en Bitcoin de 300 dólares, tal y como ocurría con WannaCry pero a diferencia de éste, lo que hace es cifrar el MFT (Master File Table) del disco duro, dejando el MBR (Master Boot Record) inoperable, e impidiendo el acceso al sistema a través de cifrar información sobre los nombres de archivos, tamaños y localización de los mismos en el disco duro. Además, Petya reempalza el MBR con su propio código malicioso con la nota del rescate.

Seguiremos atentos a los acontecimientos, a la espera de confirmar las empresas y países afectados. Por el momento, como medidas de prevención y mitigación, el CCN-CERT recomienda lo siguiente:

  • Actualizar el sistema operativo y todas las soluciones de seguridad, así como tener el cortafuegos personal habilitado.
  • Los accesos administrativos desde fuera de la organización sólo deben llevarse a cabo mediante protocolos seguros.
  • Mantener una conducta de navegación segura, empleando herramientas y extensiones de navegador web completamente actualizado.
  • Activar la visualización de las extensiones de los ficheros para evitar ejecución de código dañino camuflado como ficheros legítimos no ejecutables.
  • Deshabilitar las macros en los documentos de Microsoft Office y otras aplicaciones similares.

About Author

Desiree Rodriguez

Responsable Globb Security España y Francia @Drodriguezleal

Deja un comentario