PETYA, un nuevo ataque de ransomware paraliza empresas en todo el mundo

Madrid, 28 de junio de 2017. Bancos, puertos, grandes empresas... afectados: recapitulamos todo lo que sabemos de #Petya, el ransomware que ha paralizado (de nuevo) el mundo:

Actualización 29/06/2017: Investigadores de ESET confirman que los sistemas afectados en segunda instancia lograron acceder a redes de Ucrania a través de VPN, ya que no se ha visto en el malware una funcionalidad para propagarse fuera de la red LAN. Apagar el equipo y no iniciarlo de nuevo podría evitar el cifrado del disco. Pagar por los archivos cifrados se revela inútil ya que el correo electrónico para enviar el ID de billetera Bitcoin y la “clave de instalación personal” ha sido cerrado por el proveedor

A primera hora de la tarde de ayer (27/06/2017) los investigadores de ESET comenzaron a recabar información sobre un nuevo ataque global de ransomware que sigue la estela de los conocidos WannaCry y XData/AES-NI.

Investigadores de ESET  lograron identificar el “paciente 0” de esta infección y el punto a partir del cual se ha generado esta oleada de infecciones. Los atacantes han logrado comprometer un software de contabilidad llamado M.E.Doc, muy popular en varias industrias de Ucrania, incluyendo instituciones financieras. Varias de ellas han ejecutado una actualización troyanizada de M.E.Doc, que le permitió a los atacantes lanzar la campaña masiva de ransmoware que se propagó en todo ese país y alrededor del mundo. A raíz de esto M.E.Doc ha lanzado una advertencia en su sitio web.

Según la investigación llevada a cabo por ESET el ataque fue lanzado a lo largo de la mañana del 27 de junio en Ucrania, aunque ha afectado a más países según nuestros datos de telemetría (ver gráfico).

El nuevo ciberataque de escala mundial usa una nueva variante del ransomware Petya. Si éste logra infectar correctamente el MBR, cifrará todo el disco duro si no, cifrará todos los archivos del sistema. Según las primeras hipótesis de ESET la nueva variante de Petya utiliza una combinación del exploit de SMB (EternalBlue) utilizado por WannaCry para entrar en la red. Y posteriormente se propaga mediante PsExec dentro de la propia red. Esta peligrosa combinación puede ser la razón por la que el brote ha logrado propagarse de forma global tan rápidamente, incluso después de que Wannacry copara las primeras páginas de los medios de comunicación.

Las soluciones de ESET lo detectan como Win32/Diskcoder.C trojan desde la actualización 15653.

Si eres usuario de ESET y tienes instalada la última versión de cualquiera de nuestras soluciones de seguridad correctamente configuradas y actualizadas, deberías estar protegido contra esta variante de Petya. Además, todos los productos de ESET que incorporan la función "protección contra los ataques de red" (incluido en el cortafuegos) también protegen contra cualquier ataque propagado a través del exploit SMB (Eternalblue).

Desde ESET se recomienda mantener actualizados el sistema y las soluciones de seguridad instaladas. Este ransomware solo se necesita un sistema sin parches para que este ransomware entre en la red, obtenga derechos de administrador y se propague a otros equipos.

El brote parece haber comenzado en Ucrania (Paciente Cero de este ataque), donde los informes indican que el sector financiero, el sector energético y muchas otras industrias han sido atacados. El alcance de los daños causados ​​al sector de la energía aún no está confirmado y no ha habido informes de un corte de energía, como ocurrió anteriormente con el malware Industroyer .

Más información: 

https://www.welivesecurity.com/la-es/2017/06/27/nuevo-ataque-ransomware-wannacry-ucrania-mundo/

http://support.eset.com/ca6489/