Todo lo que sabemos sobre Petya, la nueva plaga de ransomware #Hackeaelsistema

Apenas un mes después del fenómeno WannaCry, el ataque ransomware que paralizó a numerosas organizaciones y empresas por todo el mundo, apareció este martes un nuevo malware con capacidades de gusano que comenzó a cifrar la partición maestra de los discos duros de numerosos equipos en Ucrania, Rusia y España.

Pronto se conoció que el banco central de Ucrania, la compañía pública de metro o la red del gobierno ucraniano habían sido comprometidas. También la petrolera Rosneft o la danesa Maersk.

Horas más tarde, Rob Wainright, director ejecutivo de Europol, dijo que la agencia estaba respondiendo con urgencia ante una gran y nuevo ataque de “ransomware” por toda Europa.

Los primeros análisis de los expertos de seguridad independientes apuntaban a una variante de Petya, ransomware conocido por cifrar la MBT (Master Boot Table) del sistema operativo Windows. Pero pronto se conoció que era una nueva variante que usaba elementos de Petya, de WannaCry y una nueva técnica de desplazamiento lateral.

Kaspersky dijo que era una nueva variante y decidió llamar al virus NotPetya.

Esta técnica opera de la siguiente forma: si el código infecta a una máquina con privilegios de administrador, a través de herramientas estándar instala el “ransomware” en todos los equipos de forma legitima para la máquina víctima ya que tiene credenciales administrativos.

Es más peligroso y no tiene “kill switch”, pese a la charlatanería de algunos “expertos”. El malware no se puede parar de forma remota, que fue lo mejor del “kill switch” del WannaCry hallado por el joven conocido como MalwareTech.

Tras varias hipótesis sobre los posibles focos de infección iniciales, más allá de la propagación en red local usando el exploit EternalBlue, Microsoft confirmó que algunas instancias se propagaron a través de actualizaciones legitimas del software de contabilidad ucraniano MEDoc, que está certificado por el gobierno y se usa para hacer declaraciones en Ucrania desde diferentes países.

Este ransomware incluye una versión modificada del exploit EternalBlue, vulnerabilidad en MEDoc y otro exploit de Samba.

Otro posible vector es una vulnerabilidad en Microsoft Office que permite descargar y ejecutar código de forma remota, pero no se ha obtenido un ejemplo a analizar.

Del código malicioso se desconoce autoría o motivo. Se descarta el ánimo de lucro, ya que llamar tanto la atención es contraproducente y siempre es más rentable robar información de forma inadvertida por el usuario.

El Kremlin dijo este miércoles que se necesita cooperación internacional frente a los ciberataques, algo por lo que ha abogado Microsoft durante los últimos meses alertada por el impacto de los ciberataques globales en sus consumidores.

Los afectados pueden recuperar sus ficheros con un LiveCD de Linux si no pasan de la pantalla de comprobación de disco después del reinicio.

via

Anuncios
Acerca de

Chileno. Tecnólogo Médico, Magister en cs de la Ingeniería mención Biotecnología. Nerd, Geek y orgulloso integrante del Partido Pirata de Chile Ⓟ.

Publicado en DD.HH, Sociedad, Tecnología

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Introduce tu dirección de correo electrónico para seguir este Blog y recibir las notificaciones de las nuevas publicaciones en tu buzón de correo electrónico.

Únete a otros 639 seguidores

Member of The Internet Defense League

Sígueme en Twitter
A %d blogueros les gusta esto: