El ransomware WannaCry no está muerto todavía y otro ataque de ransomware a gran escala está causando caos en todo el mundo en estos momentos, según reportan diversos medios de comunicación (The Guardian, NPR y Forbes), obligando a grander corporaciones a detener sus operaciones, compañías de generación eléctrica y bancos en Rusia, Ucrania, España, Francia, Reino Unido, India y Europa y los criminales informáticos están demandando $ 300 en bitcoins.
Según varias fuentes, una nueva variante del ransomware llamado Petya, también conocida como Petwrap, se está propagando rápidamente con la ayuda de la misma vulnerabilidad SMBv1 de Windows que el ransomware WannaCry abusó para infectar a 300.000 sistemas y servidores en todo el mundo en sólo 72 horas el mes pasado.
Aparte de esto, muchas víctimas también han informado que el ransomware Petya también ha infectado sistemas que ya habían sido parchados.
Mikko Hypponen, Director de Investigación de F-Secure, ha declarado: “Petya utiliza el exploit de la NSA Eternalblue pero también se propaga en las redes internas con WMIC y PSEXEC, por eso los sistemas parcheados pueden ser afectados”. .
Petya es un ransomware realmente muy desagradable y funciona muy diferente de cualquier otro ransomware. A diferencia de otros ransomware tradicionales, Petya no cifra los archivos uno a uno en el sistema que es afectado. En su lugar, Petya reinicia las computadoras de las víctimas y cifra la tabla de archivos maestros (MFT) del disco duro, inutilizando el registro de arranque maestro (MBR), restringiendo el acceso al sistema completo ya que no se puede tener acceso a la información sobre nombres de archivos, tamaños y ubicación en el disco físico.
El ransomware Petya reemplaza el MBR de la computadora con su propio código malicioso que muestra la nota de rescate y deja los equipos incapaces de arrancar.
A los usuarios infectados se les aconseja que no paguen el rescate porque los hackers detrás del ransomware no pueden recibir sus correos electrónicos. Ya que, Posteo, el proveedor de correo electrónico alemán, ha suspendido la dirección de correo electrónico: [email protected], que fuera utilizado por los criminales para comunicarse con las víctimas para proveer las claves de descifrado, luego de haber cobrado el rescate.
En el momento de escribir este artículo, 23 víctimas han pagado en Bitcoin a la dirección ‘1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX‘ para descifrar sus archivos infectados por Petya, con lo que la suman recolectada por estos delincuentes es aproximadamente $ 6775.
Imágenes de la última infección de Petya, compartida en Twitter, muestra que un texto, exigiendo un valor de $ 300 de Bitcoins. Aquí una captura de pantalla:
Esto es lo que dice el texto en español:
“Si ve este texto, entonces sus archivos ya no son accesibles, porque están encriptados. Tal vez usted está ocupado buscando una manera de recuperar sus archivos, pero no pierda su tiempo. Nadie puede recuperar sus archivos sin nuestro servicio de descifrado.
Nosotros le garantizamos que podrá recuperar todos sus archivos de manera segura y sencilla. Todo lo que necesita hacer es enviar un pago y comprar la clave de desencriptación.
Por favor siga las siguientes instrucciones:
- Envie $300 en Bitcoins a la siguiente dirección: 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
- Envie el ID de su billetera de Bitcoin y la clave personal de intalación al correo [email protected]. Su clave de personal de installación es:”
Según un reciente análisis de VirusTotal, actualmente sólo 16 de los 61 servicios antivirus detectan con éxito el ransomware Petya.
Petya ransomware ya ha infectado – el gigante estatal ruso de petróleo Rosneft, a los proveedores de electricidad estatales de Ucrania, “Kyivenergo” y “Ukrenergo”, en las últimas horas.
En un comunicado de prensa la empresa eléctrica Kyivenergo anunció: “Fuimos atacados hace dos horas y tuvimos que apagar todas nuestras computadoras, estamos esperando el permiso del Servicio de Seguridad de Ucrania (SBU) para volver a conectarlas”.
Hay informes de varios bancos afectados, incluyendo el Banco Nacional de Ucrania (NBU) y Oschadbank, así como otras empresas que confirman que han sido afectados por los ataques del ransomware Petya.
Maersk, una importante compañía de logística internacional, también ha confirmado en Twitter que los últimos ataques de ransomware de Petya la han afectadi y ha cerrado sus sistemas de TI en múltiples ubicaciones y unidades de negocio:
Podemos confirmar que los sistemas de TI de Maersk están caídos en múltiples sitios y unidades de negocio. Estamos solucionando la situación. La seguridad de nuestros empleados, nuestras operaciones y el negocio de los clientes es nuestra prioridad. Actualizaremos cuando tengamos más información.
Los daños más graves reportados por empresas ucranianas incluyen sistemas comprometidos en el metro y el aeropuerto Boryspil de Kiev.
Tres operadores ucranianos de telecomunicaciones, Kyivstar, LifeCell, Ukrtelecom, también se ven afectados por el último ataque Petya.
Symantec, la empresa de seguridad cibernética, también ha confirmado que el ransomwarePetya está explotando SMBv1 EternalBlue exploit, al igual que WannaCry y aprovechando las máquinas Windows sin parches.
EternalBlue es un exploit del protocolo SMB de Windows que fuera filtrado por el infame grupo de hackers Shadow Brokers el pasado mes de abril, que afirmó haberlo robado de la agencia de inteligencia estadounidense NSA.
Microsoft que ha reparado la vulnerabilidad para todas las versiones de sus sistemas operativos Windows, pero muchos usuarios siguen siendo vulnerables y una serie de variantes del malware están explotando la falla para instalar el ransomware en las computadoras que aún sean vulnerables.