Ciberataque a los equipos informáticos de varias multinacionales
Denuncian un ataque informático de Petya Ransomware, de la variedad WannaCry, que está afectando a empresas multinacionales . El ciberataque está dirigido al sistema operativo Windows y consiste en encriptar los datos de los equipos y solicitar un rescate económico en Bitcoins. Difunden recomendaciones.
Petya Ransoware está atacando los equipos informáticos de varias multinacionales, entre las que destacan la firma de abogados DLA Piper, la compañía de alimentación Mondelez, Maersk, o los laboratorios Merck; Deutsche Post
Si bien no se confirmó el vector inicial del ataque (en el caso de WannaCry fue por correo electrónico), se sabe que Petya se instala a través de una DLL que debe ser ejecutada por otro proceso. Una vez que esto ocurre, sobreescribe el sector de booteo del disco de la PC (MBR o Master Boot Record) y se programa (schedulea) el reinicio de la PC.
Una vez que la PC se reinicia, presenta una pantalla que reclama el pago del equivalente a u$s 300 en Bitcoins y solicita el envío de un comprobante a una dirección de correo.
Aparentemente, Petya utilizaría ETERNALBLUE como exploit, el mismo utilizado por WanaCry, el cual explota una vulnerabilidad publicada por el grupo Shadow Brokers en abril de 2017.
Hasta el momento, no se ha identificado que los equipos afectados inicien algún tipo de comunicación con el atacante, comportamiento normal en esquemas de “Command & Control” utilizado por “Botnets”.
Las recomendaciones emitidas para WannaCry siguen siendo vigentes para Petya:
• Aplicar los parches provistos por Microsoft para Windows, en particular: MS17-010
• Bloquear las conexiones entrantes al Puerto TCP 445
• Crear y mantener al día los back-ups
