Un nuevo ataque de ransomware se ceba con Ucrania y se extiende por todo el mundo
Un gran ataque de ransomware está afectando a grandes empresas en todo el mundo, aunque Ucrania es la más afectada
El Banco Nacional de Ucrania ha sido uno de los primeros en dar la voz de alerta sobre un nuevo ataque de ransomware que se ha estado propagando durante las últimas horas. Ucrania es el país peor parado, pero hay muchas otras empresas alrededor del mundo que está siendo atacada.
Este nuevo ataque con ransomware, un tipo de malware que cifra el contenido del disco duro a cambio de un rescate, es muy similar al que vimos el mes pasado y que afectó entre otras muchas empresas, a Telefónica.
El ataque es tan similar, que el ransomware también está pidiendo 300 dólares en Bitcoin a cambio de una contraseña que descifraría el contenido de los ordenadores.
La mayoría de los ordenadores infectados han sufrido un ataque en versiones de Windows 7, pese a estar actualizadas con los últimos parches que usó WannaCry para propagarse.
Una vez infectado, el ordenador se bloquea y muestra una pantalla en negro con un texto en color rojo, indicando que se ha cifrado todo el contenido del disco duro y que sólo se podrá desbloquear si se envían 300 dólares en Bitcoins a una dirección concreta.
— K Beaumont Not CISSP (@GossiTheDog) June 27, 2017
Expertos en seguridad han confirmado que el ransomware es una variación de Petrwrap/Petya, detectado el pasado mes de marzo.
The fast-spreading Petrwrap/Petya ransomware sample we have was compiled on June 18, 2017 according to its PE timestamp. pic.twitter.com/CHUYvsiQ08
— Costin Raiu (@craiu) June 27, 2017
Empresas como la naviera Maersk, la empresa de alimentación Mondelez, el bufete DLA Piper o la farmacéutica y química alemana Merck han confirmado que han sido infectadas. Pero ha sido Ucrania la que se está llevando el grueso del ataque.
Según el medio ucraniano Euromaidan Press, bancos y grandes empresas locales están sufriendo un ataque muy similar al del pasado mes, bloqueando sus operaciones. Entre ellas el banco del estado Oshchadbank, empresas energéticas como Dniproenergo, Zaporizhzhiaenergo y Kyivenergo, el canal de televisión ATR TV, el aeropuerto internacional Boryspil o la empresa de correos nacional Ukrposhta, están entre las afectadas.
Un ataque mediante correos infectados
Parece que el método usado para infectar los ordenadores ha sido una cadena de correos masivos enviados alrededor de las 3 de la tarde. Los correos electrónicos contenían el malware que una vez abierto infectaba el ordenador.
Symantec, y otras empresas de seguridad, han confirmado que este ataque de ransomware usa la misma técnica usada por WannaCry, llamada EternalBlue y diseñada por un equipo de hackers de la CIA.
Symantec analysts have confirmed #Petya #ransomware, like #WannaCry, is using #EternalBlue exploit to spread
— Security Response (@threatintel) June 27, 2017
Por ahora se han detectado 11 transacciones a la dirección de Bitcoin que este ransomware indica en su mensaje de alerta. Se espera que este número aumente, sobre todo cuando mañana las empresas que habían cerrado por la tarde abran y se encuentren sus equipos infectados.
+ Info | Euromaidan Press
Dejo un análisis más técnico para informáticos, de este nuevo ataque de ransomware.
https://syscloud.es/recomendaciones-evitar-la-infeccion-petya-ransomware/
Un saludo.