Alerta máxima RANSOMWARE PETYA

Comparte en tus redes...Print this pageTweet about this on Twitter3Share on Facebook4Share on Google+0Email this to someonePin on Pinterest0Share on Tumblr0Share on LinkedIn0

Especialistas en ciberseguridad apuntan a que el ‘ransomware’ se está extendiendo de forma muy rápida y virulenta por varios países y entre cientos de grandes empresas. Ucrania parece ser el que más se está viendo afectado.
Este malware utiliza ingeniería social para convencer a usuarios (o a administradores de redes) de descargar un archivo que al abrirlo se autoextrae y ejecuta el troyano. Al ejecutarse aparece una alerta de Windows. Si el usuario prosigue, Petya se aloja el registro de arranque principal del la computadora de la víctima, desactiva el modo de inicio seguro de Windows y el equipo se reinicia. Al reiniciar, aparecen ventanas de alerta indicando que el equipo ha sido secuestrado y cómo acceder al sitio de los secuestradores para pagar el rescate antes del vencimiento de un plazo de tiempo. Al vencerse el plazo de tiempo, el monto del rescate se duplica.

Los primeros ataques observados ocurrieron en Alemania, con una campaña de mensajes dirigidos a empresas de recursos humanos, donde un candidato incluye un enlace para descargar su currículo desde Dropbox. Desde su descubrimiento, los antivirus han empezado a actualizarse y la empresa Dropbox eliminó de sus servidores los archivos afectados allí alojados.  De momento, en España está confirmado que están afectadas Mondelez (empresa de alimentación dueña de marcas de populares galletas como Oreo y Chips Ahoy) y DLA Piper (uno de los mayores bufetes de abogados del mundo), así como otras empresas como Maersk, la gran empresa dedicada al transporte y logística, la cual está sufriendo la infección en sus terminales APM.

Entre los países afectados por este nuevo ataque se encuentran España, Ucrania, India, Rusia y Reino Unido, a los cuales se están sumando otros tantos. Desde Ucrania, afirman que el ataque está siendo muy fuerte y tiene como objetivo todo tipo de empresas, como bancos, en el que afirman que es el mayor ciberataque de su historia.

El 31 de marzo Hasherezade, investigador de Malwarebytes, descubrió que el malware cifraba el MBR simplemente con XOR y el carácter ASCII 7 (0x37 en hexadecimal). Sabiendo ésto, publicó una herramienta para recuperar la clave en la fase 1, si el sistema no ha sido reiniciado después de la infección. Podéis descargar el binario y también el código fuente.

Pero sobretodo y hace unos días, el anónimo leostone consiguió crackear también la segunda fase, siendo capaz de encontrar la clave usada por Petya para cifrar la MBR en sólo unos segundos. A grandes rasgos el código de su herramienta re-implementa el algoritmo de hashing usado para generar la clave, un algoritmo Salsa pero que opera en 16 bits en lugar de 32 y sólo aleatoriza la matriz 10 veces.

SISTEMAS AFECTADOS:

Microsoft Windows Vista SP2
Windows Server 2008 SP2 y R2 SP1
Windows 7
Windows 8.1
Windows RT 8.1
Windows Server 2012 y R2
Windows 10
Windows Server 2016

Fuente: VENCERT www.vencert.gob.ve

Importante reflexionar sobre la importancia en la Administración Pública Nacional de apegarse a lo estipulado en la Ley de Infogobierno y llevar a cabo la migración de todos los sistemas y plataformas a GNU/Linux, en cualquierda de sus distribuciones (Debian, Ubuntu, Canaima, etc); con ello no sólo aseguramos soberanía nacional en materia de tecnología y control de la información, sino que también explotamos al máximo las capacidades de hardware de nuestros equipos y abrimos un importante espacio para la investigación e inventiva.  En la Unidad Territorial Fundacite Amazonas contamos con un equipo dispuesto y preparado para asesorarlo y apoyarlo en todo el proceso de migración y formación sobre tecnologías libres.

Jaime Ernesto Mora (@jemora70)

469 Total lecturas 1 Veces Leído hoy
Comparte en tus redes...Print this pageTweet about this on Twitter3Share on Facebook4Share on Google+0Email this to someonePin on Pinterest0Share on Tumblr0Share on LinkedIn0

Publicaciones relacionadas

Leave a Comment