Ayer recibíamos la noticia de un nuevo ataque de ransomware de carácter masivo, Petya, que afecta a entidades bancarias y empresas petroleras, entre otras compañías pertenecientes a una gran variedad de sectores. Ucrania, India, España y Reino Unido son, según los primeros datos, algunos de los países afectados.

“Nos encontramos ante un nuevo ataque masivo de ransomware con un gran impacto en empresas de múltiples países. El escenario actual de la ciberseguridad crece en complejidad, evoluciona y se innova para alcanzar todo tipo de objetivos, en este caso, de sectores altamente sensibles”, destaca Agustín Muñoz-Grandes, CEO de S21sec, empresa líder en servicios y tecnología de ciberseguridad.

Los expertos de S21sec han llegado ya algunas conclusiones respecto a este ataque:
• Distribución: Al contrario que WannaCry, la primera etapa de distribución de PetrWrap se basa en el spam de correos con ficheros de Microsoft Office adjuntos. Una vez que los ficheros de Office descargan y lanzan el ransomware a ejecución. El binario hace uso tanto del exploit ETERNALBLUE – el mismo que utilizó en su momento WannaCry – como de herramientas para conseguir credenciales con las que autenticarse en otras máquinas de la red interna. Si alguno de los dos métodos tiene éxito, el malware consigue propagarse e infectar a otras máquinas que se encuentren en la misma red.
• Cifrado: Además del comportamiento habitual propio del ransomware de cifrar los archivos del sistema, PertWrap también reemplaza la estructura lógica conocida como la Master Boot Record (MBR) (que permite al sistema operativo encontrar los archivos dentro de las particiones de disco) por un estructura propia que le permite mostrar la nota de rescate e impedir el arranque del sistema.
• Afectación: Entre los países afectados se encuentran al menos Rusia, Ucrania, Reino Unido, Irlanda, España, Francia, Dinamarca e India; siendo Ucrania el principal país afectado por este nuevo ataque de ransomware. Al contrario que en el ataque de WannaCry, no parece existir un ‘kill-switch’ que impida la propagación de este ransomware, lo que confirma la evolución y sofisticación de los nuevos ataques y tipos de malware.
• Mitigación: Para impedir la propagación del ransomware se necesita aplicar el parche de seguridad con carácter crítico de Microsoft publicado el 14 de marzo: Security Update for Microsoft Windows SMB Server (4013389) . Este parche es el mismo que se propuso en su momento como medida de protección contra WannaCry, por lo que las empresas que ya aplicaron este parche en su momento estarían protegidas contra la propagación automática del malware a través de este exploit. Aunque podrían seguir siendo afectadas si algún empleado llegara a abrir un mail que contuviera un fichero “infectado” y el ransomware consiguiera credenciales válidas con las que autenticarse en otras máquinas. Para evitar que estos mails entren en el sistema de correo de las empresas y a los ordenadores de las personas se recomienda actualizar los elementos de protección perimetral y los paquetes de antivirus según las indicaciones que están comunicando empresas de seguridad como S21sec o los fabricantes de este tipo de soluciones.