Jakub Kroustek, Director del Equipo del Laboratorio de Amenazas de Avast

Con respecto a los informes sobre un ciberataque masivo que afectó a numerosas organizaciones en Ucrania, entre ellas bancos, compañías de electricidad y servicios de transporte, así como a organismos gubernamentales, creemos que se trata de otro ejemplo del ransomware basado en Petya, identificado por primera vez en 2016. Hace unos meses, detectamos este ransomware modificado y empaquetado en una cepa de malware diferente llamada PetrWrap. El ataque parece estar diseminándose, dado que hay casos denunciados en Rusia, India, Francia, España y también en los Países Bajos. Quienes están detrás de este ataque exigen el pago de un rescate de $ 300 en la moneda virtual Bitcoin.

170628-6

Es posible que la modificación de Petya se propague aprovechando la vulnerabilidad EternalBlue, la misma que usó el virus WannaCry. En el día de hoy, detectamos y bloqueamos 12 000 intentos de explotar esta vulnerabilidad por parte del malware. Datos recopilados a través del Inspector de Wi-Fi de Avast, que analiza las redes y puede detectar si una computadora protegida con Avast u otra conectada a la misma red tiene la vulnerabilidad EternalBlue, muestra que 38 millones de las máquinas analizadas la semana pasada no instalaron las actualizaciones de seguridad y por lo tanto son vulnerables. Probablemente, la cantidad real de computadoras en riesgo sea mucho mayor.

Recomendamos encarecidamente a los usuarios de Windows, sean empresas o usuarios finales, que actualicen sus sistemas lo antes posible con todos los parches disponibles y que verifiquen que su antivirus también esté actualizado.

Si bien no sabemos quién está detrás de este ciberataque en particular, sí sabemos que una de las características infames de Petya es que sus creadores lo ofrecen en la red oscura con un modelo afiliado que les da a los distribuidores hasta un 85% del monto del rescate pagado, en tanto que los autores del malware retienen el 15%. Estos suministran toda la infraestructura, los servidores de comando y control (C&C) y el método de transferencia del dinero. Este tipo de modelo se denomina “ransomware como servicio (RaaS)”, y les permite a los autores del malware convencer a clientes no expertos en tecnología para que lo distribuyan.

Anuncios