Una nueva ola de ransomware se esparce por el mundo

Una nueva ola de ataques de ransomware comenzó a propagarse a nivel mundial este martes, afectando a empresas y organizaciones desde sectores críticos como el energético, financiero o salud hasta otras empresas como supermercados.

Unos primeros reportes, incluyendo de la firma de seguridad Symantec, sugieren que se trata del malware Petya; aunque los expertos de Kaspersky Lab han dicho que es un malware nuevo no antes visto e incluso le ha bautizado como "NotPetya".

Lo cierto es que este ataque que se propaga a través de la vulnerabilidad EternalBlue, misma que utiliza el ransomware WannaCry y que fue utilizada por la Agencia de Seguridad Nacional de Estados Unidos (NSA) en sus programas de espionaje.

Symantec explica que Petya es un malware que data del 2016 pero difiere del ransomware típico, ya que no sólo encripta archivos, sino que también sobrescribe y cifra el registro de arranque maestro (MBR).

NOTICIA: Urge una colaboración más estrecha para combatir el cibercrimen: IBM

Tras la infección, la computadora se apaga.

En su cuenta de Twitter, el experto de ciberseguridad identificado como Hacker Fantastic y fundador de My Hacker House, advirtió que el proceso de cifrado de información ocurre cuando el usuario enciende nuevamente el equipo.

"Tus archivos no serán encriptados al menos que vuelvas a encender la máquina, aún puedes acceder a los datos y recuperar tus archivos al menos que reinicies", escribió el investigador.

En el más reciente ataque, la nota de rescate se muestra en las máquinas infectadas, exigiendo que se paguen 300 dólares en bitcoins para recuperar archivos.

NOTICIA: Cisco quiere redes del futuro inteligentes contra ciberamenazas

"Hasta el momento las organizaciones estaban pagando el chantaje iban 24 transacciones a las 13:00 del 27 de junio", dijo Carlos Ayala, consultor en Seguridad Informática de Arbor Networks en Latinoamérica. Esto es, más de 7,300 dólares.

Sin embargo, el proveedor del servicio de correo electrónico del atacante bloqueó la cuenta de correo electrónico por lo que expertos aseguran que las víctimas no podrán recibir las claves de descifrado. Esto significa que, aunque paguen el rescate, no podrán recuperar la información.

Kaspersky asegura que entre los países más afectados se encuentran Ucrania, Rusia y Polonia aunque hay reportes de ataques en Reino Unido y Estados Unidos.

Para Carlos Ayala, analista de la firma de seguridad informática Arbor Networks, la "sintomatología" es similar a la registrada con WannaCry hace un mes. "Las muestras de la variante de Petya aparentan también funcionalidades de WMIC, otros han confirmado que se dispersa por SMB en Windows y EternalBlue como mecanismo de explotación sobre la vulnerabilidad CVE-2017-0144 que originalmente fue liberada por el grupo Shadow Brokers en abril del 2017", alertó. "El host de Windows infectado inmediatamente generará tráfico TCP en el puerto 445 y hace peticiones ARP en la red local", dijo.

NOTICIA: ¿Una higiene de seguridad pudo evitar la propagación de WannaCry?

julio.sanchez@eleconomista.mx

mfh