El nuevo ciberataque se está extendiendo bastante rápido por decenas de organizaciones importantes de todo el mundo, según diversos expertos que señalan que, si bien es pronto para saber si es más o menos virulento que el WannaCry, parece ‘un trabajo bastante profesional y más desarrollado’.
Según el análisis inicial de Talos, la organización de investigación de seguridad de Cisco, el ataque comienza en Ucrania, posiblemente a partir de sistemas de actualización de software para un paquete de contabilidad de impuestos ucraniano llamado MeDoc, quien habría confirmado la información.
MeDoc es un software de impuestos ampliamente utilizado por diversas organizaciones en Ucrania. De igual manera habido otros informes de este ataque en Francia, Dinamarca, España, el Reino Unido, Rusia y Estados Unidos.
Una vez que este ransomware entra en el sistema, utiliza tres formas de propagarse automáticamente alrededor de la red, una de las cuales es la conocida vulnerabilidad Eternal Blue, similar a la que se desarrolló en el ataque WannaCry del mes pasado.
‘Se trata de un ransomware ya conocido y, aún así, ha logrado afectar a muchas organizaciones, con lo cual es un trabajo bastante profesional’, dijo el experto en ciberseguridad Deepak Daswani.
Daswani explicó que la infección de equipos es por un malware del tipo ransomware, de la familia conocida como Petya o Petrwrap, mediante el que se solicita un pago de 300 dólares en la moneda virtual bitcoin.
El virus de hoy es una variante de Petya, un tipo de ransomware que ya había aparecido otras veces y que, en este caso, se propaga a través de los mismos mecanismos que WannaCry -el de mayo pasado-.
‘Parece que explota las mismas vulnerabilidades’, detalló Daswani, ‘por lo que es raro que sigan existiendo tantos equipos expuestos sin actualizar en organizaciones tan importantes’.
En cuanto si será más o menos virulento que el WannaCry, este experto manifestó que dependerá del impacto que genere en los equipos y del número de computadoras que finalmente comprometa.
Por su parte, Josep Albors, responsable de investigación y concienciación del laboratorio de ciberseguridad ESET, dijo que este malware no parece que cifre la información, sino que modifica el índice del disco duro, haciendo imposible el acceso a la misma.
WannaCry cifraba la información directamente y mostraba un mensaje pidiendo un rescate, pero el actual virus cambia el índice, por lo que el equipo no sabe buscar la información, lo que, en su opinión, significa que ‘han invertido en desarrollo’.
En estas circunstancias, Albors apuntó que se debe mantener la calma y, salvo que se sea experto, no se debe trata de actuar sobre el disco duro, que se debe poner en manos de especialistas y no utilizar herramientas de reparación si no se dominan, ya que se pueden producir mas daños.
Al parecer, ambos ransomware -el de ahora y el del pasado mayo- explotan la misma vulnerabilidad de Windows, si bien en la forma de propagarse hay algunas singularidades como que aprovecha algunas herramientas profesionales de comunicación entre equipos -como PSExec-.
Como recomendaciones generales sigue siendo válido mantener los sistemas operativos actualizados, disponer de copias de seguridad y sistemas capaz de detectar los ataques.
Las primeras versiones del Petya se detectaron en el primer trimestre de 2016 y la versión actual sobre las 13 horas de hoy, según Albors.
EFE
