WannaCry no es el único ransomware que ha querido marcar el presente año con su presencia ya que, más de un mes después, aparece Petya, el ransomware que está comenzando a propagarse en estos momentos por todo el mundo rápidamente aprovechando, al igual que WannaCry, el exploit conocido como EternalBlue, supuestamente desarrollado por la NSA, el cual se aprovecha de una vulnerabilidad en el protocolo SMB y del que ya se resolvió a través del parche de seguridad MS17-01 que Microsoft lanzó en el pasado mes de marzo.
Según un investigador de la firma Kaspersky Lab, Petya usa una falsa firma digital de Microsoft.
New Petrwrap/Petya ransomware has a fake Microsoft digital signature appended. Copied from Sysinternals Utils. pic.twitter.com/HFwA1cyoyN
— Costin Raiu (@craiu) 27 de junio de 2017
Los primeros informes han indicado que los ataques iban dirigidos hacia Ucrania pero informes más recientes indican que el ransomware también está afectando a sistemas de Francia, España, Rusia e India, afectando tanto a empresas como a organismos gubernamentales, como indican desde TechCrunch.
Unpatched PC’s were hit again by #Petya #ransomeware.
POS, Banks, ATMs, Airport, GOV, Media companies, Metro, Cargo, Post…#Eternalblue pic.twitter.com/4n0VosQDuz— Lukas Stefanko (@LukasStefanko) 27 de junio de 2017
Además, todo apunta a que Petya también comenzará a dirigirse hacia otros países en las próximas horas. De momento entre las víctimas hay compañías rusas de acero y petróleo, empresas de transporte y otras relacionadas con la industria del petroleo, así como instituciones financieras de varios países.
Petya was known to be RaaS (Ransomware-as-a-Service), selling on Tor hidden services. Looks like WannaCry copycat. Attribution will be hard. pic.twitter.com/W5voMeNx9I
— x0rz (@x0rz) 27 de junio de 2017
La expansión de Petya indica a las claras que no se ha tomado en serio a WannaCry en su momento y que Petya se aprovecha de nuevo el hecho de que no se haya parcheado los sistemas vulnerables para secuestrar sistemas informáticos de todo el momento y exigir rescates para su desbloqueo, generalmente en Bitcoins.
Luego de la propagación de Petya apareció una nueva infección que muchos asociaron con el mismo problema, pero luego de un pronunciamiento por parte de Kaspersky. Todo resultó ser otra infección, la cual llamaron NotPetya y que si bien habría comenzado a infectar maquinas, la cantidad de ellas sería muy inferior a las que obtuvo Petya.
Según palabras de la gente de Kaspersky:
«Los analistas de Kaspersky Lab están investigando la nueva ola de ataques de ransomware dirigidos a organizaciones de todo el mundo. Nuestros resultados preliminares sugieren que NO es una variante de Petya ransomware como se ha informado públicamente, sino un nuevo ransomware que no se ha visto antes. Por eso lo hemos llamado NotPetya.
Los datos de telemetría de la compañía indican, hasta la fecha, el ataque a unos 2.000 usuarios. Las organizaciones de países como Rusia y Ucrania han sido las más afectadas. Además hemos registrado impactos de este ataque en Polonia, Italia, Reino Unido, Alemania, Francia, Estados Unidos, España y en otros países.
Se trata de un ataque complejo que involucra varios vectores. Podemos confirmar que el exploit modificado EternalBlue se ha usado para la propagación, al menos dentro de la red corporativa.
Kaspersky Lab ha detectado la amenaza como UDS: DangeroundObject.Multi.Generic.
Recomendamos a todas las empresas a actualizar su software de Windows, comprobar su solución de seguridad y asegurarse de que tienen una copia de seguridad y detección de ransomware.”
Fuente: TechCrunch.
Autor: Elias Villagrán Donaire.