Dice un dicho que las segundas partes nunca fueron buenas y -siendo sinceros- casi siempre es así. Cuando sucedió el ataque a nivel global de WannaCry se esperaba que hubiese otro ataque similar, hoy ha sido el día.
Una nueva versión del ransomware Petya –Petwrap-, la cual fue descubierta el 18 de junio, ha sido el causante de este nuevo ciberataque a nivel global. Esta nueva versión reinicia el equipo de la víctima y cifra la tabla maestra de archivos del disco duro haciendo que la partición encargada de arrancar el sistema quede inutilizable al reemplazarlo con un código que muestra el aviso del rescate y nos pide 300 dólares en Bitcoins para recuperar el control de nuestro ordenador.
Si partimos de los antecedentes de que con WannaCry ninguna persona de las que pagó recuperó los archivos no parece ser una buena idea ingresar dicha suma pero, aún así, ya hay 27 personas que han pagado el rescate de su dispositivo.
Según los análisis que se están realizando de los archivos infectados, el foco de infección son archivos de Excel o Word que aprovechan la vulnerabilidad de Office CVE-2017-0199 y tiene su origen, tal y como informa Expansión, en emails de phishing con enlaces maliciosos que contenían el ransomware, el cual pasa a propagarse por dispositivos conectados a la misma red local con WMIC y PSEXEC una vez ha infectado un ordenador. Es decir, se divide en dos partes: la que pide el rescate y la que hace que se propague por las redes locales.
Parece que el culpable de este nuevo ataque es un archivo de Excel que explota la vulnerabilidad de Office CVE-2017-0199
— Louzao 💻🖤 (@louzaonet) June 27, 2017
La gran diferencia que tiene frente a su antecesor WannaCry, es que cifra el MFT (Master File Table) del disco duro, dejando el MBR (Master Boot Record) inoperable, e impidiendo el acceso al sistema a través de cifrar información sobre los nombres de archivos, tamaños y localización de los mismos en el disco duro. Por si fuera poco, reempalza el MBR con su propio código malicioso con la nota del rescate.
El Centro Criptológico Nacional español ha confirmado que el ciberataque ha afectado a varias compañías en España y recomienda como medidas de prevención y mitigación actualizar el sistema operativo y las soluciones de seguridad, restringir los accesos desde fuera de la organización, a no ser que sean mediante protocolos seguros, y deshabilitar las funciones de macro en los documentos de Microsoft Office.
Pero… ¿no estás exagerando con lo de ciberataque global?
Desafortunadamente no. En España está confirmado que están afectadas Mondelez -propietario de firmas como Nabisco, Cadbury, Oreo, etc.-, DLA Piper -uno de los mayores bufetes de abogados a nivel mundial- y la empresa de transportes Maersk.
A nuestro país se le suman de momento Rusia, Noruega, Dinamarca, Francia, India y Ucrania; siendo este último el que peor parte se esa llevando ya que infraestructuras críticas del país tales como la empresa estatal de correo, el aeropuerto Boryspil, cadenas de televisión y numerosos bancos y empresas han sido afectados. Tal es así, que el primer ministro Ucraniano Pavlo Rozenko, ha publicado una foto en su cuenta de Twitter dónde es posible comprobar que el ransomware también ha afectado a los ordenadores del gobierno.
Та-дам! Секретаріат КМУ по ходу теж "обвалили". Мережа лежить. pic.twitter.com/B74jMsT0qs
— Rozenko Pavlo (@RozenkoPavlo) June 27, 2017
Iremos actualizando la noticia según se vaya conociendo más información acerca de este ciberataque y sus consecuencias.
Más información | CCN-CERT
Fundador y director de DerechodelaRed.
