Petya: nuevo ataque ransomware arrasa en Europa

^{Foto publicada por el viceprimer ministro de Ucrania, Pavlo Rozenko: esta pantalla se repite en las computadoras del gobierno infectadas con Petya (Twitter/@ItsBorys).}

Un cibertaque similar al de WannaCry viene sembrando caos, nuevamente, en oficinas gubernamentales y de varias empresas en Europa y algunas incluso en los Estados Unidos. El nuevo caso de ransomware se basa en un virus conocido como Petya (o Petrwrap) y emplea algunas vulnerabilidades antes explotadas por WannaCry. El ataque ha tenido como punto de partida Ucrania, y desde ahí parece haberse diseminado por los países de la región.

Hasta el momento, según reporta Wired, las víctimas incluyen infraestructuras ucranianas (compañías eléctricas, aeropuertos, oficinas transporte público y el banco central), así como la compañía naviera danesa Maersk, la petrolera rusa Rosneft e instituciones en la India, España, Francia, Reino Unido.

Al igual que con WannaCry, los hackers detrás del ransomware exigen US$300 en bitcoins por computadora infectada a manera de rescate, a fin de desencriptar el equipo y salvar así los archivos a los que el virus restringe el acceso.

Petya se aprovecha de la misma brecha de seguridad que WannaCry. Emplea el exploit llamado EternalBlue, presuntamente desarrollado por la NSA (la Agencia de Seguridad Nacional estadounidense) para el espionaje cibernético.

De hecho, el especialista en seguridad y defensa de la firma Emsisoft, Fabian Wosar, ha tuiteado el código de EternalBlue detrás de Petya. Este malware circula en la red desde el año pasado y tiene dos componentes: el malware principal, que infecta el registro de arranque maestro (MBR) de una computadora (digamos, la primera parte de un disco duro, a la que se recurre para el arranque de un sistema) y, a continuación, intenta cifrar su Tabla Maestra de Archivos (MFT). Si no puede detectar el MFT, sin embargo, Petya incorpora un malware llamado Mischa, que simplemente encripta todos los archivos en el disco duro de la computadora como ocurre convencionalmente en casos de ransomware.

El Centro Nacional de Ciber Seguridad británico ha señalado que está al tanto de la situación y tratando de entender cómo está evolucionando, velozmente, para determinar un curso de acción.

Por su parte Maersk ha admitido que sus servidores se han visto afectados y que sus operaciones se podrían ver perjudicadas en todo el mundo. Diecisiete terminales de contenedores de APM Terminals, filial de Maersk, han sido hackeados, incluyendo dos en Rotterdam y 15 en otras partes del mundo, según la cadena holandesa RTV Rijnmond.

Mientras que Rosneft, la principal petrolera rusa con accionariado mayoritario del gobierno de Vladimir Putin, también ha anunciado que sus sistemas se han visto dañados. Se suman algunos bancos e incluso los servidores de WPP, la agencia de publicidad más grande del mundo, con cuarteles generales en el Reino Unido.

EternalBlue, la vulnerabilidad explotada en este ataque es una que venía poniendo en riesgo terminales de Windows. No obstante, luego de que el grupo de hackers Shadow Brokers diera cuenta de la misma inicios de año, Microsoft puso a disposición de los usuarios de varias versiones de Windows (incluso de algunas a las que ya no brinda soporte como XP) un parche de seguridad que protegía al equipo contra ataques de este tipo.

La reciente escalada de Petya ha probado que pese a que las herramientas de protección estaban a disposición de quienes las buscaran, no muchas empresas u oficinas buscaron procurarse la seguridad del caso.

Hans Huerto

Si te gustó esta noticia, entérate de más a través de nuestros canales de Facebook y Twitter.