27 de junio 2017.- Un nuevo ataque masivo está causando gran impacto en Europa este martes; se trata de un nuevo ransomware llamado Petwrap, el cual sería una variante de Petya, un malware detectado en marzo, pero que estaría también utilizando también recursos del exploit EternalBlue, que fue el que presuntamente robaron a la NSA y se utilizó para potenciar el efecto del virus WannaCry.
El ataque se encuentra en pleno desarrollo y afectando a toda clase de empresas, desde bancos, aerolíneas, compañías de publicidad, puertos, empresas de alimentos e incluso sistemas como el metro han visto afectado su funcionamiento en países como Ucrania, que parece ser el blanco principal del ataque.
España también sufre los efectos de Petwrap
En España el gigante de los alimentos Mondelez -propietario de firmas como Nabisco, Cadbury, Oreo, etc-, así como el bufete jurídico DLA Paper han confirmado que también están sufriendo los efectos de Petwrap.
También compañías farmacéuticas en los Estados Unidos, y el gigante petrolero ruso Rosneft han estado entre los afectados, con lo cual se confirma el alcance global de este nuevo ataque. En Europa son ya decenas de compañías las que reportan afectaciones en sus sistemas, lo cual ha generado que muchas estén deteniendo sus operaciones de forma provisional.
En que consiste el ataque de Petwrap
De acuerdo a los primeros reportes, este malware, como todo ransomware, está exigiendo una recompensa para desencriptar archivos. Algo muy similar a lo que hizo el WannaCry, aunque en este caso está solicitando una recompensa de 300 euros. En el mensaje el atacante advierte a la víctima que no pierda tiempo tratando de descubrir como desencriptar sus archivos, afirmando que sólo mediante el pago en bitcoins se podrá lograr.
Analistas de Kaspersky han rastreado el desarrollo de Petwrap, el cual parece estar impactando en mucho mayor proporción en Ucrania; teniendo también un efecto masivo en Rusia. No obstante que son decenas ya de países donde de igual forma se empiezan a reportar casos.
Current situation of Petrwrap/wowsmith123456 ransomware – percentage of infections by country. pic.twitter.com/Q42WPlBlja
— Costin Raiu (@craiu) June 27, 2017
Una de las cuestiones que están advirtiendo los especialistas en informática, es la gran rapidez con la cual se está propagando el ataque, motivo por el cual al menos dos firmas distintas de seguridad han indicios de que también se habrían aprovechado elementos del EternalBlue y WannaCry.
https://twitter.com/msuiche/status/879713211368525824
[HOT] New Petya (MBR #ransomware) "loaded" with #ETERNALBLUE SMBv1 worm functionality (see ARP scan indicator): https://t.co/np2xM4309b pic.twitter.com/owd6zb7fhN
— Hybrid Analysis (@HybridAnalysis) June 27, 2017
Ojo con tu antivirus
De igual forma ha generado preocupación en el medio que aún no todos los antivirus han identificado este malware, por lo que apenas una tercera parte ya se encuentran protegidos. No obstante que existe una gran variedad de antivirus que aún son vulnerables a Petwrap, de acuerdo al seguimiento en tiempo real que se realiza desde VirusTotal (Si en vez de una definición en rojo, tiene paloma en verde significa que aún no te sirve de nada tu antivirus).
Expertos de Kaspersky han descubierto también que Petwrap está utilizando una licencia falsa de Microsoft, con lo cual pretenden pasar desapercibidos en múltiples sistemas. Los especialistas recomiendan actualizar las definiciones de virus a la última versión, en caso de que su antivirus ya tenga identificado el malware; en caso contrario lo mejor será apagar el equipo y esperar un poco a que nuestro antivirus pueda protegernos del ataque.
