El equipo de Respuesta a Incidentes de Check Point® Software Technologies, el mayor proveedor mundial especializado en seguridad, ha detectado numerosos ataques de una nueva variante del malware Petya, que se está expandiendo lateralmente dentro de redes corporativas. Todo parece indicar que está utilizando el exploit SMBv1 'EternalBlue', al igual que WannaCry en mayo. En un primer momento, fue detectado atacando a entidades financieras ucranianas, y se ha extendido de forma masiva por Europa, América del Norte, América del Sur y Asia.
Petya se está propagando rápidamente a través de las redes corporativas de la misma manera que WannaCry hizo el mes pasado. Sin embargo, a diferencia de otros tipos de ransomware, no cifra los archivos de las máquinas infectadas de forma individual. En su lugar, bloquea toda la unidad de disco duro del equipo.
¿Qué ha pasado?
El ataque comenzó en Ucrania, donde causó una interrupción masiva de las infraestructuras críticas del país, antes de extenderse por Europa, infectando a una serie de empresas. Se ha especulado que la fuente de la infección ha sido una actualización de software corrupta de un programa de contabilidad llamado M.E. Doc, que se extendió a todos sus clientes. M.E. Doc niega esta versión.
24 horas después del inicio del ataque, el sistema por el que las víctimas pueden pagar el rescate se ha quedado inutilizado: la dirección de correo electrónico proporcionada por los criminales la ha cerrado el proveedor de alojamiento, y los ciberdelincuentes no han accedido a la cuenta de Bitcoins en la que se depositaba el dinero de los rescates, que no llega a los 10.000 dólares.
A la vez que surgió Petya, el equipo de investigación de Check Point detectó la distribución simultánea del bot Loki a través de documentos RTF infectados, que instalan una aplicación de robo de credenciales a dispositivos infectados. Sin embargo, por el momento, los dos ataques no parecen estar directamente conectados.
Puntos clave del ataque
Check Point sostiene que existen tres aspectos principales relativos a este último ataque de ransomware:
¿Cómo pueden protegerse las personas y las empresas?
Petya demuestra dos tendencias principales: en primer lugar, que los ciberdelincuentes pueden crear y difundir nuevas amenazas a escala mundial a una velocidad increíble. Segundo que, a pesar del impacto de WannaCry, muchas compañías todavía no están bien preparadas para evitar que el malware se filtre en sus sistemas.
Estos ataques tienen el potencial de crear un daño masivo, como se ve por el impacto en la infraestructura crítica en Ucrania. Y las consecuencias de una propagación tan rápida de las infecciones pueden tener un efecto dramático en la vida de los ciudadanos, incapacitando servicios críticos e interrumpiendo sus rutinas diarias.
Para evitar ser víctima de futuras ciberamenazas, Check Point recomienda: