El nuevo malware del ciberataque global producido ayer. Petya Ransomware afectó a distintas multinacionales. Los países mas afectados fueron Ucrania y Rusia, pero también afectó a Polonia, Italia, Francia, Holanda y España entre otros.
El ransomware Peyta, utiliza el mismo medio de propagación de WannaCry, agente del anterior ataque, afectando los sistemas Windows que no encuentren actualizados y sean vulnerables a la vulnerabilidad de Microsoft CVE-2017-0199 (RTF Remote Code Execution).
El foco inicial de infección, conocido como “paciente 0”, parece ser provocado por una actualización del software de contabilidad llamado M.E.Doc, muy popular en varias industrias de Ucrania, incluyendo instituciones financieras, donde los atacantes lograron comprometer el servidor para alojar una falsa actualización de esta aplicación.
Peyta se diferencia de sus antecesores. Primero secuestra los archivos mas importantes de dispositivo del usuario y, luego, cifra la tabla maestra de archivos de la unidad de arranque mediante el cifrado «Salsa20 stream cipher». En suma, el dispositivo no arranca.
Si sus sistemas se vieron afectados, no pague ningún rescate, la cuenta de correo electrónica utilizada por los delincuentes no se encuentra operativa, y no persigue el cobro. El ataque fue una «muestra de poder» para recordar a las organizaciones que son vulnerables. El uso de una cuenta de un correo electrónico para solicitar el rescate de forma global, tiene un corto recorrido ya que suelen ser bloqueadas en pocos minutos.
Eurostar Security cuenta con un laboratorio de ciberseguridad que puede recuperar los ficheros cifrados que se fueron afectados por el ransomware Peyta.
José Maria Luque