Una variante del ransomware Petya ataca a ordenadores por todo el mundo en especial al los paises del Este y China :
Tras los ataques del Wannacry del mes pasado, que atrajeron la atención de los medios de comunicación mundiales, llega otro brote de ransomware que se está extendiendo rápidamente por Europa y otros continentes. Una nueva variante de la familia de ransomware Petya.
Este ataque, golpeó especialmente a Ucrania, afectando a sucursales gubernamentales, al aeropuerto de Kiew, al sistema de metro, al proveedor de energía estatal Ukrenergo, al banco central e incluso a la extinta central nuclear de Chernobyl. Otras infecciones han sido confirmadas por empresas de otras partes de Europa, como la agencia de publicidad británica WPP, la constructora francesa Saint-Gobain, la petrolera
rusa Rosneft y el gigante naviero danés AP Moller-Maersk.
Hasta ahora, la infección por el ransomware ha sido confirmada en más de 14 países incluyendo Estados Unidos, México, Irán y Brasil, pero esperamos que muchos más países se veran afectados.
Esta última variante de ransomware utiliza el mismo método que permitió a Wannacry infectar más de 200.000 computadoras en mayo de este año lo cúal confirma que muchas empresas no prestaron atención fallos consejos de los expertos en seguridad.
Petya fue visto por primera vez a finales de marzo de 2016. Lo que lo hizo único fue la implementación de su propio sistema operativo que instala y arranca en lugar de Windows, cifrando varias estructuras críticas del sistema de archivos. Esta nueva variante de Petya ha copiado este método, pero además implementa sus propios métodos para difundir, cifrar archivos e infectar el sistema.
Tras la infección, Petya presenta una pantalla de rescate, en inglés, pidiendo pagar $ 300 de bitcoins.
¿Cómo se infecta con el ransomware Petya?
La ola inicial de infecciones de Petya se vinó desde un conocido proveedor de software ucraniano. Los atacantes obtuvieron acceso a los servidores de actualización del software y entregaron Petya como u
na actualización de software a los clientes de la compañía. Métodos similares han sido utilizados en el pasado por familias de ransomware como XData para comenzar la ola inicial de ataques.
Una vez que se infectaron varios sistemas, Petya pudo propagarse rápidamente desde allí a través del mismo métoto que fue utilizado por WannaCry. El exploit, conocido como ETERNALBLUE, explota una vulnerabilidad en el protocolo SMBv1 de Microsoft, permitiendo a un atacante tomar el control sobre
los sistemas que lo tengan habilitado, utilicen Internet y no han sido parcheados por la corrección MS17-010 de Marzo de 2017.
Petya también utiliza varias características administrativas integradas en Windows para propagarse d
entro de una red.
Esto significa que desde una máquina sin parcheo, puede infectar toda la red, incluso aunque las otras máquinas esten completamente parcheadas.
Petya utiliza Windows Management Instrumentation (WMI) y la popular herramienta PsExec en combinación con los recursos compartidos de red para facilitar la difusión del ransomware dentro de la red local.
Los atacantes atacados :
Parece ser una lucha entre los paises del Oeste (OTAN,...) contra los atacantes historicos del Este (Rusia, Ucrania,China,...) una vez más los bloques alineados pretenden pasar cuentas entre sí, volviendo a la guerra fría, opinión basada en ntra esperiencia personal, pero solo una opinión, dados los innumerables ataques del Este sufridos por el Oeste.
¿Cómo procesa Petya ransomware sus archivos?
Petya encripta archivos con las siguientes extensiones:
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ov .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar.rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
Para cifrar los archivos, utiliza el algoritmo AES con una clave de 128 bits. Esa clave se cifra con una clave pública RSA incrustada en el ejecutable de ransomware.
In memory of Ponca Chief Standing Bear
