Foto: Shutterstock
Foto: Shutterstock
Foto: Shutterstock
B:Secure

El ransomware a escala global tiene un nuevo capítulo: Petya

A un mes del ataque cibernético del ransomware WannaCry, un asalto parecido aterroriza al mundo. Aunque todavía no recibe un apodo, este es el mayor atentado en la historia de Ucrania, ya que afectó su aeropuerto más ocupado, banco nacional y distribuidor de poder del estado. Muchos otros países en todo el mundo están esperando que afecte sus sistemas, especialmente aquellos que no se protegieron después de WannaCry.

A fin de liberar el sistema del ransomware, se debe pagar $300 dólares en Bitcoins. Tal como lo hicieron los desarrolladores de WannaCry, los cibercriminales aprovecharon la vulnerabilidad en SMB (MS17-010) que afecta a sistemas Windows. Entra al sistema a través de un correo electrónico que aparece en la bandeja de entrada de los empleados de cualquier entidad y contiene documentos adjuntos infectados. El nuevo programa utiliza dos capas de encriptación y genera un reinicio del disco duro, lo cual dificulta su penetración, hace imposible la recuperación de la información y prolonga el tiempo de desarrollo de un kill-switch que lo desbloquee, ya que cifra por completo el Master Boot Record y deja inservible el equipo, explicó David Conde, responsable del SOC/CERT Global de la firma de ciberseguridad de origen español, S21sec.

El secuestro comenzó en Rusia y en Ucrania, y se propagó a España, Francia, Holanda, Rumania, Noruega e India. Bancos como Russia’s Rosneft y el banco del estado de Ucrania, Oschadbank, la compañía danesa de envíos, Maersk, y la compañía británica de publicidad, WPP, ya padecieron el atentado.

A pesar de que en Latinoamérica el ataque no afectó a tantas entidades como en Europa, ya se registraron casos en Argentina, Colombia, Guatemala y México.

Fuente: ESET

Fuente: ESET

Debido a su parecido con WannaCry, los expertos piensan que el programa probablemente es una variación de la familia de ransomware llamada Petya, que ha estado disponible para su compra en la WebOscura. Sin embargo, la empresa rusa desarrolladora de software de seguridad, Kaspersky Lab, piensa que no es una variante de Petya, sino un software nunca antes visto, lo cual complica su suspensión definitiva.

El hecho de que este asalto ya se haya propagado en tantos países sugiere que WannaCry no instigó tanto miedo para lograr que gobiernos y grandes empresas protejan sus servidores, a pesar de que después de éste, los expertos advirtieron públicamente que era probable que otro asalto se desencadenara en el mundo e incluso creciera más que el pasado; tampoco protegieron sus datos a pesar de las advertencias de Microsoft de instalar un parche de seguridad, el cual mostró su eficacia en los sistemas de las compañías que lo colocaron.

WannaCry disminuyó su impacto gracias a que un investigador inglés creó un kill-switch. Sin embargo, alcanzó a bloquear cientos de miles de computadoras y sigue recibiendo dinero. En sus primeras 24 horas, recaudó $55,000 dólares –$20,000 dólares más que el nuevo virus– y la suma total de fondos hasta hoy es de $132,000 dólares, reveló S21sec .

Petya evoluciona
A través de un informe especial, la firma de ciberseguridad Forcepoint informó que una variante del ransomware Petya se está propagando lateralmente dentro de las organizaciones a través de una vulnerabilidad del protocolo SMBv1.

Los ataques comparten el uso de una billetera común de bitcoin; a continuación se muestra una pantalla del mensaje de rescate que de despliega en los sistemas infectados.

Fuente: Forcepoint

Fuente: Forcepoint

 

“Activar las antenas”
La compañía de seguridad cibernética, ESET Latinoamérica, recomienda no pagar el soborno exigido por los cibercriminales por dos razones: la primera es que no garantiza, como en los secuestros de personas, que los criminales vayan a liberar el software después de recibir el dinero; la segunda es que al pagar, el mercado de los ransomware crece, ya que más y más criminales crearán programas para recibir dinero. Camilo Gutiérrez, Jefe del Laboratorio de ESET Latinoamérica, asegura que “es importante saber que las empresas pueden estar protegidas teniendo una infraestructura de seguridad eficiente y actualizada. En definitiva, se trata de mantenerse en alerta y aplicar buenas prácticas de seguridad sin caer en la desesperación”.

Además de mantenerse en alerta para prevenir un ataque, ESET Latinoamérica recomienda que las entidades conserven actualizado el sistema operativo de sus computadoras, que hagan respaldos periódicos a su información más relevante, que no ejecuten archivos desconocidos y que aseguren que todos los equipos cuenten con un parche de seguridad.

Por su parte, Forcepoint recomienda seguir el mismo procedimiento que se utilizó con WannaCry:

  •         Verificar que la actualización MS17-010 se haya instalado en todas las máquinas Windows de la organización.
  •         Asegurarse de contar con las soluciones de seguridad de correo electrónico y web que puedan bloquear los mensajes maliciosos, detener las fases de descarga maliciosa en tiempo real y ofrecer funcionalidades de URL Sandboxing para contar con protección adicional.
  •         De acuerdo con la guía de Microsoft de 2016, los clientes deben considerar desactivar SMBv1 y otros protocolos legados en todos los sistemas Windows donde esto no afecte la función de los sistemas legados dentro del entorno.

Netmedia es mucha más que noticias. suscríbase y reciba lo mejor

Te recomendamos

El ransomware a escala global tiene un nuevo capítulo: Petya