Nuevo ransomware, ¿sin freno?
El nuevo virus que pide rescate por la información encriptada y los expertos no han logrado desarrollar una solución exitosa
Corporativo
Una nueva variante de ransomware conocida como “Petya” vulnera una amplia gama de industrias y organizaciones, incluyendo a los rubros de energía, banca y sistemas de transporte, alertó el estratega sénior de seguridad en Fortinet, Aamir Lakhani.
No obstante, Kaspersky Lab halló rastros que “sugieren que no se trata de una variante del ransomware Petya (…) sino que se trata de un nuevo ransomware que no se había visto anteriormente. Pese a que cuenta con varias secuencias similares a Petya, posee funcionalidades completamente distintas. Lo hemos nombrado ExPetr”.
La información de telemetría registró a aproximadamente 2,000 usuarios atacados hasta el momento en Rusia, Ucrania, Polonia, Italia, Reino Unido, Alemania, Francia y Estados Unidos e involucra “exploits modificados de EternalBlue y EternalRomance” para la propagación en la red corporativa.
Por su parte, Fortinet apuntó que esta versión busca las mismas vulnerabilidades que fueron explotadas en el ataque de “WannaCry” en mayo pasado, utilizando un enfoque amplio dirigido a cualquier dispositivo a su alcance.
“Parece que este ataque se inició con la distribución de un documento de Excel que explota una conocida vulnerabilidad de Microsoft Office. Una vez que un dispositivo se infecta a través de este vector, Petya comienza a aprovechar la misma vulnerabilidad utilizada por WannaCry para propagarse a otros dispositivos”, una vez que el dispositivo fue afectado, Petya perturba el registro de arranque principal durante el ciclo de infección.
Luego de esto, envía una nota de rescate señalando que “sus archivos ya no son accesibles porque han sido encriptados”; mientras exige un pago aproximado de 300 dólares por el rescate en la moneda digital o Bitcoin y advierte que de apagar la computadora se tendrá una pérdida completa del sistema y da espacio de una hora para reiniciar el equipo automáticamente.
Ante ello, pese a la divulgación de las vulnerabilidades y parches de Microsoft y considerando la naturaleza del ataque de WannaCry, miles de organizaciones fallaron en la protección de sus dispositivos, debido a que Petya altera el registro de arranque principal y pone en riesgo la pérdida de todo el sistema.
Cabe señalar que el WannaCry desde una perspectiva financiera no tuvo mucho éxito, ya que generó pocos ingresos para sus desarrolladores y los investigadores lograron encontrar un interruptor que desactivó el ataque; sin embargo, muchas organizaciones tienen malos hábitos de seguridad ni disponen de herramientas para detectar este tipo de amenazas.