Los expertos en seguridad valoran el nuevo ransomware Petya

Días después de que el ransomware WannaCry paralizase empresas y sistemas de medio mundo, otro ataque similar, protagonizado por otro malware de nombre Petya, ha vuelto a secuestrar ordenadores con Windows de empresas de varios países, entre los que está España. Según Expansión, son varias las empresas que han resultado afectadas por el ataque en nuestro país: galletas Mondélez, la multinacional francesa Saint-Gobain, el bufete de abogados DLA Piper, el área de BNP Paribas dedicada a la inmobiliaria, la rama española de la compañía de transporte marítimo Maersk o la agencia de comunicación Hill+Knowlton Strategies son algunas de las afectadas.

En todas se han puesto ya en marcha medidas para revertir los efectos del ataque, así como para intentar que afecte al menor número de equipos posible. En los afectados se podía leer un mensaje en el que se avisaba de que estaba infectado: «Si puedes leer este texto, tus archivos ya no están disponibles, ya que han sido encriptados. Quizá estás ocupado buscando la forma de recuperarlos, pero no pierdas el tiempo: nadie podrá hacerlo sin nuestro servicio de descifrado«. Además, se pide un rescate de 300 dólares en Bitcoin para que los atacantes envíen a los que decidan pagar la clave que permite descifrar el contenido del equipo.

¿Cómo se ha propagado este nuevo ataque? Pues, según Reuters, de una manera muy similar a WannaCry. Viaja por las redes oculto en un gusano, diseñado para colarse en los sistemas aprovechando una vulnerabilidad de un protocolo de compartición de archivos, para lo que utiliza el exploit EternalBlue, robado a la NSA. El virus cifra el contenido de los discos duros de los ordenadores que ataca y sobreescribe sus archivos. Se expande rápidamente y ataca a las empresas que no han instalado el parche para una vulnerabilidad del sistema que Microsoft lanzó el pasado mes de marzo.

Hasta ahora ha afectado a empresas de todo el mundo, entre las que se encuentra Rosneft, la mayor petrolera de Rusia, varios bancos ucranianos y numerosas multinacionales, así como el sistema informático del gobierno central y el del distribuidor de energía estatal. También han sido atacados los sistemas del mayor puerto de transporte de mercancías de la India. El mayor número de ataques se han concentrado en Rusia y Ucrania, aunque también hay afectados en Reino Unido, Francia, Alemania, Italia, Polonia, Estados Unidos, Australia y Nueva Zelanda.

Los expertos en seguridad esperan que el impacto de Petya sea menor que el de WannaCry, porque muchos ordenadores ya tienen el parche que corrige el agujero de seguridad que ambos ataques utilizaban para atacar sistemas. No obstante, también apuntan a que este ataque podría ser más peligroso que los convencionales, porque no solo «congela» los ordenadores, sino que también impide su reinicio. También puede ser más complicado de frenar, puesto que tampoco cuenta, al menos por el momento, con una solución como la descubierta para frenar a WannaCry.

Opiniones de los expertos

A pesar de que muchos expertos se están refiriendo al ataque como Petya, todavía no está claro si este ransomware se trata de una variante suya, por lo que se refieren a él como NotPetya. Es el caso de Kaspersky Lab, cuyos analistas están investigando el ataque, y apuntan a que sus resultados preliminares sugieren que «no es una variante de Petya ransomware como se ha informado públicamente, sino un nuevo ransomware que no se ha visto antes. Por eso lo hemos llamado NotPetya«.

Según han comentado, «se trata de un ataque complejo que involucra varios vectores. Podemos confirmar que el exploit modificado EternalBlue se ha usado para la propagación, al menos dentro de la red corporativa. Kaspersky Lab ha detectado la amenaza como UDS: DangeroundObject.Multi.Generic«.

Desde Trend Micro manifiestan que es interesante observar que, para llegar a sus víctimas, Petya utiliza un servicio de almacenamiento en la nube legítimo: Dropbox. El ransomware se distribuye a través de un correo electrónico, y «las víctimas recibirán un email personalizado que invita a leer una aparente carta o mensaje de negocios en el que un aspirante busca un puesto de trabajo en una empresa«.

Se presentaría a los usuarios con un enlace a una cuenta de Dropbox, que supuestamente permitiría la descarga del currículum del candidato. El archivo descargado no es tal, sino un archivo ejecutable y autoextraíble que se encarga de descargar el troyano que a su vez descarga y ejecuta Petya.

Raj Samani, responsable de Inteligencia Estratégica de McAfee, ha confirmado la existencia de variantes de Petya: «McAfee ha recibido múltiples informes de variantes modificadas del ransomware Petya. McAfee Labs está analizando estas muestras y aconsejando a los clientes cómo abordar estas amenazas en sus respectivos entornos. Este brote no parece ser tan grande como WannaCry pero el número de organizaciones que han sido afectadas es considerable. Según los datos que tenemos hasta ahora, parece que se está usando el mismo método de propagación que WannaCry. Cualquiera que ejecute sistemas operativos que no hayan sido parcheados con motivo de la aparición de WannaCry podría ser vulnerable a este ataque«.