Clicky

Ataque de ransomware se propaga rápidamente en toda Europa

ransomware Petya

"Petya" ha infectado los sistemas de la central nuclear de Chernobyl

Empresas, departamentos gubernamentales y aeropuertos de Ucrania han sido golpeados por un ransomware esta tarde y el ataque parece estar ahora extendiéndose por toda Europa.

En Ucrania han sido afectados departamentos gubernamentales, el banco central, un fabricante de aviones estatales, el aeropuerto de Kiev y la red de metro. En el Reino Unido, la empresa de publicidad WPP dice que sus sistemas también han sido infectados, y la compañía de transporte danesa Maersk informa que ha cerrado por el ataque sitios y unidades de negocio.

Los medios ucranianos informan que también han sido afectados por el ataque los sistemas de la central nuclear de Chernobyl. Todavía están apareciendo detalles, pero parece que el ataque, apodado "Petya", no sólo cifra los datos para un rescate, sino que secuestra los ordenadores y les impide trabajar en conjunto.

Mark Noctor, VP EMEA de Arxan Technologies, afirma: "Algunos informes de inteligencia de amenazas indican que en el ataque fue utilizado el troyano bancario Loki Bot, que puede infectar las bibliotecas nativas de Android OS, demostrando que todo, desde cortafuegos externos hasta aplicaciones móviles y puntos finales, son vulnerables a la explotación por atacantes de alto nivel. Las organizaciones que hacen uso de aplicaciones móviles, en particular áreas de alto riesgo como la banca y las finanzas, aseguran que implementan medidas de seguridad avanzadas como el endurecimiento de código y la detección de depuradores para minimizar la amenaza de que las aplicaciones se utilicen para orientar la infraestructura principal".

Los analistas de Malwarebytes creen que el método de entrega es el mismo que el utilizado por WannaCry. "Estamos investigando el ataque mientras hablamos, y hasta ahora es demasiado pronto para decir el alcance. Lo que hemos descubierto es que el ransomware parece ser distribuido por el Server Message Block (SMB), que es el mismo que el incidente de WannaCry que lo precedió".

"Se ha informado ampliamente que este ataque explota la misma vulnerabilidad utilizada por WannaCry (EternalBlue). Dada la notoriedad que logró WannaCry, es sorprendente ver que las organizaciones están siendo víctimas de una vulnerabilidad que ha sido de conocimiento público desde principios de este año", dice Andrew Avanessian, vicepresidente de la empresa de seguridad de puntos finales Avecto. "Vivimos en un mundo cada vez más conectado, pero eso significa que las infecciones de malware pueden propagarse en un abrir y cerrar de ojos. Esta instancia aporta de nuevo una luz sobre la necesidad de las empresas a centrarse en la prevención cuando se trata de seguridad cibernética, en lugar de quedar pasivas y asumiendo que habrá una cura cuando ocurre lo peor".

El experto en seguridad Graham Cluley informa que el ataque está utilizando para propagarse una puerta trasera llamada "Eternal Blue" construida por la NSA.

Ha habido informes adicionales que las oficinas españolas de compañías multinacionales como bufete de abogados DLA Piper han sido afectadas por un ataque de malware que cifra los archivos en sus ordenadores y exigiendo un rescate de US $ 300 en Bitcoin ser pagado a los extorsionadores.

Para solucionar el problema, los responsables del ataque solicitan al usuario pagar un rescate de 300 dólares en bitcoins y enviar el justificante de pago a una dirección de correo electrónico con una contraseña preestablecida. Esta es la dirección a la que se pide enviar el rescate. Solo entonces, según ellos, podrán recuperar los archivos.

Te traeremos más noticias a medida que surja, pero mientras tanto tengamos cuidado.

Jesus_Caceres