Julio López
está desaparecido
hace 6401 días
versión para imprimir - envía este articulo por e-mail

Ver este artículo sin comentarios

Nuevo ataque de ransomware paraliza a grandes empresas en todo el mundo
Por A.M. / Hipertextual - Friday, Jul. 28, 2017 at 10:52 PM

27/06/17 - Un nuevo ataque similar al WannaCry está infectando los equipos de grandes compañías cifrando los archivos y exigiendo un rescate en bitcoin.

Pensábamos que con el WannaCry se había aprendido la lección, pero lo cierto es que en seguridad nunca se está al 100% seguro. Y es que un nuevo ransomware llamado simplemente NotPetya está afectando los equipos informáticos de un buen número de multinacionales, entre las que destacan la firma de abogados DLA Piper, la compañía de alimentación Mondelez, Maersk, o los la compañía farmacéutica Merck; y como en el caso del ataque de WannaCry, todavía se desconoce tanto el alcance como la autoría detrás detrás de esta infección.

Como en el ataque anterior, los equipos infectados con NotPetya Ransomware han sufrido un cifrado de sus archivos y resulta imposible acceder al sistema operativo, puesto que lo único que se muestra es un mensaje que reza, tal como adelantan en Teknautas: Si puedes leer este texto, tus archivos ya no están disponibles, ya que han sido encriptados. Quizá estás ocupado buscando la forma de recuperarlos, pero no pierdas el tiempo: nadie podrá hacerlo sin nuestro servicio de desencriptación".

Los atacantes obligan al pago de 300 dólares en bitcoin y enviar un justificante de transferencia a un dirección específica de correo, por lo que de momento, y a la espera de una solución, aceptar el chantaje parece, hasta ahora, la única forma de acceder a los archivos cifrados. Como en el caso del WannaCry, parece que el ransomware se está expandiendo por el interior de las redes corporativas de estas grandes empresas, por lo que la mayoría de ellas están comunicando a sus empleados que desconecten sus equipos:

De momento, como decimos se desconoce el alcance, pero seguiremos actualizando este artículo según se vaya recabando más información al respecto, pero además de las grandes compañías, este ransomware también ha afectado a varias entidades bancarias y empresas nacionales, según el Banco Central de Ucrania y tal como recoge Expansión, y a otras multinacionales como Nivea, GroupM o WPP.

El Centro Criptológico Nacional ha confirmado la existencia de NotPetya y cómo ha afectado a algunas compañías en España:

"El Equipo del CCN-CERT alerta ante la detección de una campaña de ransomware que afecta a sistemas Windows, cifrando el sistema operativo o disco y cuya propagación es similar a la de WannaCry; es decir, una vez ha infectado una máquina puede propagarse por el resto de sistemas conectados a esa misma red. El malware utilizado en la campaña, una variante de la familia NotPetya, se ha detectado ya en empresas ubicadas en Ucrania y en algunas multinacionales con sede en España."

Según diversos reportes, ya son más de 80 empresas las afectadas por el NotPetya ransomware y repartidas por todo el globo: Reino Unido, Estados Unidos, Francia, Rusia, España, India y Ucrania, afectando además a diferentes sectores, desde el Banco Nacional de Ucrania hasta la la petrolera rusa Rosneft, pasando por las ya mencionadas WPP, Nivea, Auchan, DLA Piper, Mondelez... El modus operandi de NotPetya es diferente al WannaCry, puesto que no va cifrando los archivos individuales, lo que hace es reiniciar el sistema y cifrar toda la tabla maestra de arranque, por lo que es imposible acceder al sistema de Windows si no se paga el rescate. Además el propio ransomware es el que hace que se propague por la red local y afecte al resto de equipos.

De momento lo único que se conoce es que, según AFP, el origen del ataque parece estar en Rusia y Ucrania, aunque no hay evidencias físicas que apunten a una autoría real dentro de sus fronteras. Se espera que en la próximas horas el ataque de la vuelta al mundo y afecte a más países y empresas, tal como sucedió con el WannaCry.

En estos instantes, INCIBE apunta un nivel de alerta en España sobre el 49%, un indice que se establece sobre los eventos registrados en el Modelo de Inteligencia en Ciberseguridad de INCIBE atendiendo al número y tipo de activos o recursos comprometidos y a la tipología de los ataques para las últimas 24 horas:

fuente https://hipertextual.com/2017/06/ataque-de-ransomware

agrega un comentario


Malware NotPetya está diseñado para hacer daño y destruir datos, no para ganar dinero
Por A.M. / Hipertextual - Saturday, Jul. 29, 2017 at 1:57 PM

29/06/17 - Los investigadores revelan que en realidad NotPetya era un wiper disfrazado de ransomware para hacer el máximo daño posible a sus víctimas.

Se empiezan aclarar algunas cuestiones relativas al ataque de NotPetya que afectó a un gran número de empresas multinacionales y entidades gubernamentales repartidas por medio mundo. Este ransomware, una variación del Petia y similar a WannaCry ha sido muy más virulento en lo que que a su comportamiento se refiere, aunque su dispersión por la red haya sido menor. Sea como sea, la cuestión es que el mundo corporativo está preocupado, y según van apareciendo más detalles del ataque, que utilizaba una de las vulnerabilidades del EternalBlue para su propagación, conocido por la NSA, más se complica el asunto.

Y es que lo que a simple vista parecía una versión más sofisticada del WannaCry ha resultado ser uno de los wiper más complejos que se han visto a gran escala en los últimos años. Básicamente, disfrazado de ransomware, NotPetya se ha convertido en un problema mucho mayor que WannaCry desde el momento en el que este solo buscaba dinero, mientras que NotPetya buscaba hacer daño. O al menos esa es la conclusión que sacan los expertos.

Tanto Kaspersky como otros investigadores se han encontrado, después de analizar el malware, que el ransomware conocido ya por New Petya/NotPetya/ExPetr era un señuelo que, en vez de querer lucrarse con el chantaje a sus víctimas, lo que buscaba era, simplemente, destruir el mayor número de archivos, por lo que se baraja que era un ataque dirigido disfrazado se coló por la red.

En pocas palabras, y tal como apunta, Matt Suiche, hacker y fundador de ComaeIo, un ransomware tiene la capacidad de restaurar las modificaciones aplicadas al sistema, como restaurar el MBR como Petia en 2016, o desencriptar archivos si la víctima paga, mientras que un wiper no tiene esa capacidad y busca simplemente destruir toda posibilidad de restauración.

Porque según ha averiguado este investigador, la misma conclusión a la que han llegado en Kaspersky, con lo que se habían infectado varias entidades gubernamentales en Ucrania era realmente un wiper disfrazado de ransomware que destrozaba los 24 primeros bloques del sector del disco mientras se replicaba a sí mismo, haciendo imposible la recuperación de los datos, junto con el descubrimiento de que los atacantes implementaron una función que eliminaba los primeros 10 sectores bajo dos condiciones muy específicas, explicada de forma técnica en el blog de ComaeIo.

Pero si esto fuera poco, lo más grave del asunto es que la clave generada para poder recuperar los archivos es falso y es generada aleatoriamente sin ninguna consistencia. Los investigadores de Kaspersky Lab han analizado el código de alto nivel y la rutina de cifrado y han determinado que, después de cifrado, no se pueden descifrar los discos de las víctimas, lo que refuerza la teoría de que el objetivo principal del ataque de NotPetya/ExPetr no estaba motivado económicamente.

fuente https://hipertextual.com/2017/06/notpetya-cuenta-correo

agrega un comentario