Con
respecto a los informes sobre un ciberataque masivo que afectó a numerosas
organizaciones en Ucrania, entre ellas bancos, compañías de electricidad y
servicios de transporte, así como a organismos gubernamentales, creemos que se
trata de otro ejemplo del ransomware basado en Petya, identificado por primera
vez en 2016. Hace unos meses, detectamos este ransomware modificado y
empaquetado en una cepa de malware diferente llamada PetrWrap. El ataque parece
estar diseminándose, dado que hay casos denunciados en Rusia, India, Francia,
España y también en los Países Bajos. Quienes están detrás de este ataque
exigen el pago de un rescate de $ 300 en la moneda virtual Bitcoin.
Es
posible que la modificación de Petya se propague aprovechando la vulnerabilidad
EternalBlue, la misma que usó el virus WannaCry. En el día de hoy, detectamos y
bloqueamos 12 000 intentos de explotar esta vulnerabilidad por parte del
malware. Datos recopilados a través del Inspector de Wi-Fi de Avast, que analiza
las redes y puede detectar si una computadora protegida con Avast u otra
conectada a la misma red tiene la vulnerabilidad EternalBlue, muestra que 38
millones de las máquinas analizadas la semana pasada no instalaron las
actualizaciones de seguridad y por lo tanto son vulnerables. Probablemente, la
cantidad real de computadoras en riesgo sea mucho mayor.
Recomendamos
encarecidamente a los usuarios de Windows, sean empresas o usuarios finales,
que actualicen sus sistemas lo antes posible con todos los parches disponibles
y que verifiquen que su antivirus también esté actualizado.
Si
bien no sabemos quién está detrás de este ciberataque en particular, sí sabemos
que una de las características infames de Petya es que sus creadores lo ofrecen
en la red oscura con un modelo afiliado que les da a los distribuidores hasta
un 85% del monto del rescate pagado, en tanto que los autores del malware
retienen el 15%. Estos suministran toda la infraestructura, los servidores de
comando y control (C&C) y el método de transferencia del dinero. Este tipo
de modelo se denomina “ransomware como servicio (RaaS)”, y les permite a los
autores del malware convencer a clientes no expertos en tecnología para que lo
distribuyan.
+++
No hay comentarios:
Publicar un comentario