Apenas un mes después del fenómeno WannaCry, el ataque "ransomware" que paralizó a numerosas organizaciones y empresas por todo el mundo, apareció este martes un nuevo "malware" con capacidades de gusano que comenzó a cifrar la partición maestra de los discos duros de numerosos equipos en Ucrania, Rusia y España.

 

Pronto se conoció que el banco central de Ucrania, la compañía pública de metro o la red del gobierno ucraniano habían sido comprometidas. También la petrolera Rosneft o la danesa Maersk.

 

Horas más tarde, Rob Wainright, director ejecutivo de Europol, dijo que la agencia estaba respondiendo con urgencia ante una gran y nuevo ataque de "ransomware" por toda Europa.

 

Los primeros análisis de los expertos de seguridad independientes apuntaban a una variante de Petya, ransomware conocido por cifrar la MBT (Master Boot Table) del sistema operativo Windows. Pero pronto se conoció que era una nueva variante que usaba elementos de Petya, de WannaCry y una nueva técnica de desplazamiento lateral.

 

Kaspersky dijo que era una nueva variante y decidió llamar al virus NotPetya.

 

Esta técnica opera de la siguiente forma: si el código infecta a una máquina con privilegios de administrador, a través de herramientas estándar instala el "ransomware" en todos los equipos de forma legitima para la máquina víctima ya que tiene credenciales administrativos.

 

Es más peligroso y no tiene "kill switch", pese a la charlatanería de algunos "expertos". El malware no se puede parar de forma remota, que fue lo mejor del "kill switch" del WannaCry hallado por el joven conocido como MalwareTech.

 

Tras varias hipótesis sobre los posibles focos de infección iniciales, más allá de la propagación en red local usando el exploit EternalBlue, Microsoft confirmó que algunas instancias se propagaron a través de actualizaciones legitimas del software de contabilidad ucraniano MEDoc, que está certificado por el gobierno y se usa para hacer declaraciones en Ucrania desde diferentes países.

 

Este "ransomware" incluye una versión modificada del exploit EternalBlue, vulnerabilidad en MEDoc y otro exploit de Samba.

 

Otro posible vector es una vulnerabilidad en Microsoft Office que permite descargar y ejecutar código de forma remota, pero no se ha obtenido un ejemplo a analizar.

 

Del código malicioso se desconoce autoría o motivo. Se descarta el ánimo de lucro, ya que llamar tanto la atención es contraproducente y siempre es más rentable robar información de forma inadvertida por el usuario.

 

El Kremlin dijo este miércoles que se necesita cooperación internacional frente a los ciberataques, algo por lo que ha abogado Microsoft durante los últimos meses alertada por el impacto de los ciberataques globales en sus consumidores.

 

Los afectados pueden recuperar sus ficheros con un LiveCD de Linux si no pasan de la pantalla de comprobación de disco después del reinicio.

 

Fuente