Addictware | Noticias de Tecnología - Petya ataca

Aún se analiza si la amenaza es nueva o una extensión de los ataques existentes, porque las campañas de ransomware ocurren regularmente en este tiempo.

FireEye square logo

FireEye informó que organizaciones de Australia, Estados Unidos, Polonia, Holanda, Noruega, Rusia, Ucrania, India, Dinamarca y España, reportaron interrupciones a sus sistemas en las últimas 24 horas, que se atribuyen a una variante del ransomware Petya, que se supone haberse distribuido a través de EternalBlue, usado durante el ataque de WannaCry.

Los expertos destacan que aún se analiza si la amenaza es nueva o una extensión de los ataques existentes, porque las campañas de ransomware ocurren regularmente en este tiempo.

El análisis inicial de los artefactos y el tráfico en la red de la víctima indican que una versión modificada de la vulnerabilidad EternalBlue SMB se utilizó, al menos en parte, para propagarla a otros sistemas junto con los comandos WMI, MimiKatz y PSExec.

FireEye ha establecido un Evento de Protección a la Comunidad y sigue investigando los reportes y la actividad de la amenaza.

Robert Freeman, vicepresidente para Latinoamérica de FireEye, precisó que este ataque destaca la importancia para las empresas y gobiernos de asegurar sus sistemas contra ciberataques, ya que el panorama de amenazas ha cambiado y es importante que cambien las prácticas de ciberseguridad para adecuarlas a las amenazas.

Petya es un tipo completo de rescate, es una familia atípica de ransomware, mientras que como malware no encripta archivos individuales de los sistemas de las víctimas, pero invalida el registro del master boot (MBR) y encripta la tabla del archivo maestro (MFT) que vuelve al sistema inoperativo hasta que se pague el rescate.

Este malware contiene un cuentagotas, un inicializador customizado y un pequeño núcleo de Windows que corre rutinas adicionales de encriptación.