El ransomware Petya ataca al Reino Unido, Ucrania, India, Países Bajos, España, Dinamarca. Petya utiliza los datos de contacto de wowsmith123456@posteo.net y pide un pago de $ 300 en Bitcoin
Actualización: El brote se originó en Ucrania a través de software de contabilidad Tainted.Según las fuentes, tales como Cisco Talos, ESET, MalwareHunter, Kaspersky Lab, Policía de Ucrania, y otros, un atacante desconocido puso en peligro los servidores de actualización de Médoc, y empujó una actualización de software malicioso para los clientes.
Cuando la actualización alcanzó los clientes de Medoc, el software empaquetado contaminada entregó el Petya ransomware también citada en línea como NotPetya o Petna.
De acuerdo con el investigador de seguridad MalwareHunter, esta no es la primera vez que Médoc ha realizado una actualización de software malicioso que entrega ransomware.
En mayo, los servidores de la compañía también se vieron comprometidas y sospechosos de portar el ransomware datos extendidos, lo que causó una gran cantidad de estragos en Ucrania en el momento en que fue visto por primera vez. Médoc negó que sus servidores de actualización de software estaban involucrados en ese ataque también.
Posteo, el proveedor de correo electrónico ha cerrado la cuenta wowsmith123456@posteo.net. La decisión del proveedor de correo electrónico alemán es una noticia catastrófica para las víctimas de petya, ya que no serán capaces de pagar el rescate para recuperar los archivos confidenciales necesarios para asuntos urgentes.
El culpable principal detrás de este ataque es una nueva versión de Petya, un ransomware que cifra tablas MFT (Maestro árbol de archivos) para particiones NTFS y sobrescribe el MBR (Master Boot Record) con un gestor de arranque personalizado que muestra una nota de rescate y evita que las víctimas se inicie su ordenador.
Debido a esto, Petya es más peligroso e invasivo en comparación con otras cepas, ya que se reinicia sistemas y les impide trabajar en conjunto.
La nueva versión de Petya esta inspirado por WannaCry
Según varias fuentes, el autor de esta nueva cepa de Petia se han inspirado en WannaCry del mes de mayo, y ha añadido una obra de SMB similar basada en ETERNALBLUE de la NSA explotar. Esto ha sido confirmado por la carga de seguridad, Avira, squared, Bitdefender, Symantec, y otros investigadores de seguridad.A diferencia de WannaCry, Petya También se propaga a través de correo electrónico no deseado en forma de documentos de Office boobytrapped. Estos documentos utilizan la vulnerabilidad CVE-2.017 a 0.199 Oficina RTF para descargar y ejecutar el instalador Petya, que luego se ejecuta el gusano de SMB y se extiende a nuevos equipos de la misma red.
Multiples incidentes en todo el mundo
Actualmente, hay varios informes de varios países sobre el impacto del ransomware. El país más afectado parece ser el de Ucrania, donde las agencias gubernamentales han informado de "ciberataques" causadas por un misterioso virus que afectó a los proveedores más grandes bancos, aeropuertos y de servicios públicos del país. Rozenko Pavlo, uno de los vice primeros ministros de Ucrania publicó una foto en Twitter de un PC gobierno bloqueado por esta nueva variante Petia.Incidentes de ransomware también se han reportado en otros países, como los Países Bajos, donde el gigante de transporte de contenedores mediante danesa Maersk se vio obligado a cerrar algunas operaciones en Rotterdam. Maersk confirmó más tarde los ataques a su página web.
En España, los medios de comunicación locales está reportando ataques ransomware en un gran número de empresas que incluyen conglomerado de alimentos Mondelez y el gigante bufete de abogados DLA Piper.
En el Reino Unido, la empresa de marketing WPP se ve afectada, junto con muchos otros. Los EE.UU. no escapó a la epidemia Petya, y la primera gran víctima de superficie era gigante farmacéutico Merck, mientras que en Francia, Saint-Gobain un fabricante de materiales de construcción se vio obligado a cerrar sus operaciones.
El gigante petrolero ruso Rosneft también admitió a incidentes cibernéticos en Twitter, pero no aclaró aún más. En general, de acuerdo con Kaspersky, Ucrania y Rusia parecen ser los más afectados.
Petya no tiene un killswitch
El ransomware ha bloqueado cientos de computadoras en la misma red en cuestión de minutos.Hasta el momento, los autores de petya ya se han embolsado siete pagos de rescate de 0,87 Bitcoin, por valor de casi $ 2.000. Esta es una suma bastante considerable, sabiendo que WannaCry llevó casi un día completo para ganar esa cantidad.
Una versión anterior de la ransomware Petya puede descodificarse, pero no podemos confirmar o negar en esta etapa que esta versión también es manipulable. En el pasado, el autor de la Petya, un ladrón llamado Secretario de Janus, ha ofrecido una combinación de las variantes ransomware petya y Mischa a través de un portal ransomware-as-a-Service (RAAS).
Mientras WannaCry fue detenido por un mecanismo de "Killswitch", no parece verse afectada por tal debilidad esta versión Petya.
Fecha actualización el 2017-6-28. Fecha publicación el 2017-6-27. Categoría: Ransomware. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer