General

Nuevo ataque de ransomware que se extiende por todo el mundo incluso llega a Chernobyl


Después de los ataques de WannaCry Ransomware que afectaron al Reino Unido y a otros 100 países, una nueva ola de ciberataques se está extendiendo rápidamente como la pólvora por todo el mundo. Esta vez, el malware se llama Petya o NotPetya y se considera más letal que el ransomware WannaCry.

Ha existido desde 2016, pero solo ha proliferado en los últimos días afectando a grandes empresas en Rusia, Ucrania, Polonia y Europa occidental durante su brote de ayer (27 de junio de 2017).

Petya ha deshabilitado particularmente varios sectores en Ucrania, incluido el banco central, el aeropuerto de Kiev, la red de metro, un fabricante de aviones estatal y departamentos gubernamentales. Poniendo a Ucrania en el centro de este ciberataque global.

El subdirector de la Administración Presidencial @dshymkiv instruyó al equipo para ayudar a los equipos de TI de otras instituciones gubernamentales pic.twitter.com/iQw33ZJO7X

- The Bankova (@TheBankova) 27 de junio de 2017

¿Qué es Petya?

El ransomware existe desde 2016. Se propaga en un sistema Windows explotando la vulnerabilidad MS17-010 o más comúnmente conocida como EternalBlue, también utilizada en WannaCry. Otras herramientas como EternalRomance también se pueden utilizar para explotar vulnerabilidades en un sistema. Si un solo sistema, que posee atributos administrativos, ha sido infectado, puede propagar la infección a todos los demás equipos de la red a través de WMI o PSEXEC.

Una vez que Petya ha penetrado en un sistema, espera de 10 a 60 minutos para que se reinicie. A medida que el sistema se reinicia, el malware comienza a cifrar archivos y sobrescribe el registro de arranque maestro (MBR) con un cargador modificado que muestra una nota de rescate. Los piratas informáticos prometen que los archivos cifrados se pueden recuperar si las víctimas pagan el rescate de $ 300 en Bitcoins. Proporcionaron una dirección de correo electrónico a la que las víctimas podían enviar sus números de billetera. Sin embargo, esta cuenta de correo electrónico ha sido deshabilitada, lo que significa que aquellos que han sido afectados recientemente por el malware ya no pueden recuperar sus archivos cifrados. Se informó que la billetera bitcoin que está vinculada al ciberataque recibió varios pagos y tiene tres bitcoins o £ 5,640 ($ 7,240).

[Fuente de imagen: Symantec]

El proveedor de correo electrónico alemán Posteo respondió rápidamente al ataque de malware. "Nos dimos cuenta de que los chantajistas de ransomware están utilizando una dirección de Posteo como medio de contacto. Nuestro equipo anti-abuso verificó esto de inmediato y bloqueó la cuenta de inmediato". Posteo ha confirmado las siguientes condiciones a partir del mediodía del 27 de junio de 2017. Los chantajistas ya no podían acceder a la cuenta de correo electrónico para enviar correos electrónicos. Y tampoco es posible enviar correos electrónicos a la cuenta.

Entonces, ¿de qué se trata el apodo "NotPetya"? Kaspersky Lab informó que el malware que se infiltra en organizaciones de todo el mundo no es una variante de Petya. En cambio, es un ransomware novedoso y han decidido llamarlo NotPetya.

Lo último de los investigadores de @kaspersky sobre #Petya: en realidad es # NotPetyapic.twitter.com / uTVBUul8Yt

- Kaspersky Lab (@kaspersky) 27 de junio de 2017

Cómo Petya es más letal que WannaCry

Este ransomware hace más que cifrar archivos. También sobrescribe y cifra el MBR, que es una parte importante del sistema de inicio de una computadora. El MBR contiene información sobre el disco duro utilizado para cargar el sistema operativo. Si el malware logra penetrar el MBR, cifrará toda la unidad o cifrará todos los archivos.

Además, el ransomware también busca contraseñas en la computadora afectada e intenta extraer las credenciales de inicio de sesión de los usuarios registrados de la memoria o del sistema de archivos local. Al abusar de PSEXEC, Petya puede propagarse a través de una red completa apuntando a la PC de un administrador. Una vez que se ha violado el sistema principal, también se pueden penetrar las otras computadoras debajo de la computadora host.

El investigador de ESET, Robert Lipovsky, explicó cómo fue posible la gran proliferación de Petya.

"Esta poderosa combinación es probablemente la razón por la que el brote se está propagando rápidamente, incluso después de que los brotes anteriores hayan generado titulares y la mayoría de las vulnerabilidades deberían haberse parcheado. Solo se necesita una computadora sin parche para ingresar a la red. A partir de ahí, el malware puede tomar el control derechos de administrador y extenderse a otros equipos ".

Petya también es más notorio, ya que penetra en PC con Windows parcheado, incluso en aquellos con Windows 10. Por otro lado, WannaCry estaba incursionando en gran medida a través de sistemas más antiguos.

¿A quiénes afecta?

Uno de los gigantes de la industria del petróleo y el gas, Rosneft, informó que su sistema se vio afectado por el ciberataque de Petya. Pero de inmediato ha recurrido al sistema de control de reservas de la empresa, lo que les permitió continuar con su operación diaria. Rosneft es la compañía petrolera que cotiza en bolsa más grande del mundo y es propiedad del gobierno ruso. La compañía energética ha buscado la ayuda de los servicios de seguridad de Rusia para investigar el ciberataque que estalló en la tarde del 27 de junio de 2017.

"Rosneft y sus subsidiarias operan de manera regular. Aquellos que difunden mensajes falsos y de pánico serán responsabilizados junto con los que están detrás del ataque de piratas informáticos", dijo el portavoz de Rosneft, Mikhail Leontyev.

Sin embargo, el ciberataque podría tener graves consecuencias debido al hecho de que la Compañía ha cambiado a un sistema de control de reservas ...

- Rosneft (@RosneftEN) 27 de junio de 2017

... no se detuvieron ni los procesos de elaboración ni de producción de aceite.

- Rosneft (@RosneftEN) 27 de junio de 2017

Después de ser uno de los países más afectados durante el ransomware WannaCry, el Reino Unido no se libró de este ciberataque mundial actual de Petya. La agencia británica de marketing y publicidad, WPP, se adelantó y dijo que sus sistemas de TI se han visto afectados por Petya.

Los sistemas de TI de varias empresas de WPP se han visto afectados por un presunto ciberataque. Estamos tomando las medidas adecuadas y actualizaremos lo antes posible.

- WPP (@WPP) 27 de junio de 2017

La empresa danesa de transporte y logística global, Maersk, declaró que los sistemas de TI en varios de sus sitios y unidades comerciales se han desactivado.

ACTUALIZACIÓN 23:00 CEST pic.twitter.com/ITmwGIHD6e

- Maersk (@Maersk) 27 de junio de 2017

El sitio nuclear más notorio del mundo en Chernobyl de Ucrania también fue infligido por el ransomware, que logró paralizar el sitio web de la planta de energía. Como resultado, el sistema de monitoreo de radiación de Chernobyl se desconectó después del ciberataque. Esto significaba que los empleados tenían que medir los niveles de radiación utilizando dispositivos portátiles.

La Agencia Estatal para la Gestión de la Zona de Ejecución de Chernobyl dijo en un comunicado de prensa:

"En relación con el ciberataque, el emplazamiento de la central nuclear de Chernobyl no funciona. Todos los sistemas técnicos de la central funcionan con normalidad. Pero debido a la desconexión temporal de los sistemas de Windows, se está llevando a cabo la vigilancia de la radiación del emplazamiento industrial salir manualmente". 

¿Cómo protegerse de este ciberataque en curso?

Asegúrese de estar utilizando un software antimalware confiable que esté actualizado. También puede proteger su PC instalando todas las actualizaciones y parches actuales de Windows. Evite hacer clic en enlaces y abrir archivos adjuntos que provengan de remitentes desconocidos o que no sean de confianza.

Según ESET, reiniciar su sistema puede ser perjudicial y es mejor simplemente apagar su computadora por completo.

"Apagar la computadora y no arrancar nuevamente podría evitar el cifrado del disco, aunque varios archivos ya pueden estar cifrados después de que se reemplaza el MBR y se intenta una mayor infección a través de la red"

Fuentes: Symantec, Kaspersky Lab, ESET, TruSTAR

VEA TAMBIÉN: ¿Qué es WannaCry y cómo puede proteger sus datos contra él?


Ver el vídeo: Ransomware: qué es, cómo infecta y cómo protegerse (Enero 2022).