Ayer temprano (27 de junio), se recibieron reportes sobre una nueva ola de ataques de ransomware (referidos en los medios de comunicación por varios nombres, incluyendo Petya, Petrwrap, NotPetya y exPetr) difundiéndose alrededor del mundo, inicialmente principalmente enfocando en negocios de Ucrania, Rusia y Europa occidental.

Si usted fuera una de las víctimas desafortunadas, esta pantalla podría parecerle familiar:

Hace poco más de un mes exactamente el 12 de Mayo que el ransomware Wannacry hiciera temblar a muchas de las grandes compañías de todo el mundo cuando ahora otro ransomware similar vuelve a atacar. Todas las indicaciones muestran que este nuevo ataque se está reproduciendo a gran velocidad por todo el mundo, y parece ser que hasta ahora el país más afectado es Ucrania.

El ransomware Petya (en ruso diminutivo de Pedro) esta actuando de forma similar a Wannacry, de hecho, esta empleando el mismo exploit conocido como ETERNALBLUE. Entre los otros países afectados de Europa se encuentran; Rusia, Francia, Holanda, Polonia, Inglaterra, Suiza y España, aunque en su alcance se puede haber extendido a otros países y regiones del mundo, reportándose ya infecciones en Brasil y Estados Unidos.

El ataque fue informado por primera vez en Ucrania, donde el gobierno, los bancos, la energía eléctrica estatal, el aeropuerto de Kiev y el sistema de metro fueron afectados. El sistema de monitoreo de radiación de Chernobyl fue puesto fuera de línea, obligando a los empleados a usar contadores manuales para medir los niveles en la zona de exclusión de la antigua planta nuclear.

Hay una paralización total en las grandes multinacionales: entre ellas la empresa de alimentación Mondelez (matriz de empresas como Cadbury y Nabisco y dueña de marcas como Oreo, Chips Ahoy, TUC), las empresas Nivea, el laboratorio estadounidense Merck, la petrolera rusa Rosneft, la naviera danesa Moller-Maersk, y el bufete DLA Piper, una de las mayores firmas legales de todo el mundo, han sufrido el día de ayer un ataque de ransomware similar al ocurrido a nivel mundial con Wannacry hace apenas un mes. Y no son las únicas.

Petya también ha causado graves trastornos en otras grandes empresas, entre ellas el gigante de la publicidad WPP, la empresa francesa de materiales de construcción Saint-Gobain y las firmas rusas de acero y petróleo Evraz y Rosneft.

El Vice Primer Ministro de Ucrania, Pavlo Rozenko también dijo en su Facebook que Petya cifró sus unidades de disco.

Kaspersky Lab en mayo del 2016, descubrió el ransomware Petya que no sólo cifra los datos almacenados en una computadora, sino que también sobrescribe el registro de arranque maestro (MBR) de la unidad de disco duro, imposibilitando a los ordenadores infectados arrancar el sistema operativo.

En este caso, el cifrado del sistema no se produce de manera inmediata, sino que espera un intervalo aleatorio entre diez y sesenta minutos para el reinicio del sistema, programado mediante schtasks y shutdown.exe. Tras el reinicio se cifra la tabla MFT en las particiones NTFS, sobreescribiendo de ese modo el MBR con un loader donde se incluye la nota del ransomware.

Los analistas de Kaspersky Lab han descubierto PetrWrap, una nueva familia de malware que explota el módulo de ransomware original de Petya, distribuido a través de una plataforma Ransomware-as-a-Service, para realizar ataques dirigidos contra organizaciones concretas. Los creadores de PetrWrap crearon un módulo especial que modifica el ransomware de Petya original “sobre la marcha”, dejando a sus autores indefensos contra el uso no autorizado de su malware. Este hecho es indicativo de la creciente competitividad que existe en el mercado negro del ransomware.

Según suponían varios usuarios, PetrWrap está usando el mismo medio de propagación de WannaCry, es decir la explotación de EternalBlue y EternalRomance en Windows y el puerto 445 abierto pero los últimos informes confirman que la propagación es por correo electrónico.

Extensiones de archivo que cifra Petya

“Petya utiliza el mismo exploit de Eternalblue y también se propaga en las redes internas con Mimikatz, WMIC y PsExec, por eso los sistemas parcheados pueden ser afectados igualmente” dijo Mikko Hypponen, Director de Investigación de F-Secure. La diferencia fundamental con WannaCry es que este malware solo se propaga en la red local, no a través de Internet. Petya, además cifra muchos menos tipos de archivos que su predecesor.

Este nuevo ransomware utiliza el exploit SMB únicamente en parte de la infección, haciendo uso de MimiKatz para la extracción de credenciales del proceso lsass.exe, y WMIC o PSExec para el movimiento lateral, resultando de ese modo inocuo el parche de seguridad MS-17-010. Es decir, aunque un equipo esté completamente parcheado podría infectarse vía propagación.

Los responsables del ataque solicitan al usuario pagar un rescate de 300 dólares y enviar el justificante de pago a una dirección de correo electrónico con una contraseña preestablecida. Por ahora, al momento de la publicacion de este articulo, los ciberdelincuentes han recibido 45 transacciones, la primera de ellas a las 12:48hs de ayer (hora de Europa). Aquí se encuentra toda la información técnica correspondiente a los binarios detectados hasta ahora.

En este momento hay dos versiones de Petya activas, la versión de abril pasado se puede recuperar siguiendo este procedimiento. Para la versión actual (27/06) se puede probar el mismo método, pero, por desgracia, aún no hay forma segura de recuperación.

Fuente: Segu-Info

Anuncios