A mediados del mes pasado, el mundo se vio conmocionado por un ataque de ransomware a escala global que afectó todo tipo de compañías, entidades y organismos gubernamentales. Pero, tal y como lo predijeron expertos en seguridad informática, hoy nuevamente se ha presentado un caso de ransomware con implicaciones gigantescas.
Según lo reportado en The Verge, el reciente ataque de ransomware ha llevado a varias empresas europeas a un cese de actividades. Los daños más graves están siendo reportados por empresas ucranianas, con sistemas comprometidos en el Banco Central de Ucrania, las telecomunicaciones estatales, el metro municipal y el aeropuerto Boryspil de Kiev. Otras áreas y/o departamentos comprometidos están en Ukrenego, la empresa proveedora de electricidad de Ucrania, aunque un portavoz de esta compañía dijo que la fuente principal de alimentación de electricidad no se vio afectada por el ataque.
Las infecciones también han sido reportadas en dispositivos más aislados como terminales de algunos puntos de venta y cajeros automáticos.
Otras empresas afectadas
reportaron que hasta ahora la lista de afectados la componen más de 50 empresas de diversos sectores localizadas en países como Reino Unido, Estados Unidos, Francia, Rusia, España, India y Ucrania. En ella se encuentran la multinacional alimentaria Mondelez, que es dueña de marcas como Oreo, Tang, Milka o Toblerone; la empresa de publicidad británica WPP; Nivea; Auchán (Alcampo); el laboratorio Merck; la petrolera rusa Rosneft, en la cual el virus al parecer llegó hasta sus servidores; y la agencia de relaciones públicas y comunicaciones Burson Marsteller.
La compañía de transporte marítimo Maersk, oriunda de Dinamarca, también ha informado de sistemas afectados a través de múltiples sitios, incluyendo su brazo logístico en Rusia, Damco. En Estados Unidos específicamente se presentaron casos en oficinas como la firma de abogados DLA Piper.
Características de este nuevo ataque
informó que un investigador de Kaspersky Lab identificó el virus como ‘Petrwrap’, una cepa del ransomware Petya identificado por esta misma compañía en marzo. Ahora, una muestra recuperada del mismo -compilada el 18 de junio- sugiere que el virus ha estado infectando las máquinas de muchas empresas desde hace algún tiempo. Sin embargo, según un reciente análisis de VirusTotal, solo cuatro de los 61 servicios antivirus más reconocidos pudieron detectar el virus con éxito.
Otras firmas han dicho que el nuevo ransomware emplea el mismo exploit (fragmento de software) ‘EternalBlue’ usado por WannaCry, lo que le permite propagarse rápidamente entre los sistemas infectados. EternalBlue apunta al sistema de intercambio de archivos SMB de Windows, y se cree que ha sido desarrollado por la Agencia de Seguridad Nacional (NSA). Microsoft ha reparado desde entonces la vulnerabilidad subyacente para todas las versiones de Windows, pero muchos usuarios siguen siendo vulnerables y una cadena de variantes del malware ha empleado el exploit para entregar el ransomware.
‘Petrwrap’ parece ser un programa de ransomware directo. Una vez infectado, el virus encripta cada computador haciéndolo inutilizable hasta que el sistema sea descifrado. A continuación, un mensaje explica que para desencriptar la información es necesario que el usuario pague 300 dólares en Bitcoin y enviar la identidad del monedero virtual de la empresa que ha sufrido el ataque, junto con un código de verificación que los piratas muestran en las pantallas de los afectados. Al finalizar, los atacantes prometen recuperar toda la información a través de un código de desactivación que prometen enviar.
Orígenes del ataque
Los orígenes del ataque aún no están claros, pero la afectación de las empresas eléctricas de Ucrania hace que las miradas del mundo se vuelquen sobre Rusia. La red eléctrica de Ucrania fue golpeada por un ataque persistente y sofisticado en diciembre de 2015, que muchos atribuyeron a Rusia. Dicho ataque dejó en su momento a 230.000 ciudadanos sin electricidad durante seis horas.
Imagen: Pixabay.