El ciberataque sufrido ayer martes 27 de junio que ha afectado a numerosas empresas e instituciones en España y toda Europa es una nueva variante de la familia de ransomware Petya.
Se trata de un ransomware descubierto por primera vez en 2016 que cifra el MFT (Master File Tree) y sobrescribe el MBR (Master Boot Record), dejando un mensaje de rescate y deshabilitando completamente los ordenadores afectados.
Esta nueva variante es particularmente virulenta porque utiliza múltiples técnicas para propagarse automáticamente dentro de la red de una empresa una vez infectado el primer dispositivo.
Así como sucedió el mes pasado con el virus Wannacry que infectó a cientos de miles de ordenadores en todo el mundo explotando el código NSA filtrado por Shadow Brokers, este nuevo ataque usa una variante de APT EternalBlue Exploit de Shadow Brokers (CC-1353), que apunta una falla en el servicio Windows Server Message Block (SMB).
En este punto, sin embargo, SophosLabs no ve ninguna evidencia de que Petya se está extendiendo entre organizaciones como un gusano SMB-exploiting, como lo hizo WannaCry. Es sólo el uso de la técnica para difundir en las redes internas.
Así como sucedió el mes pasado con el virus Wannacry que infectó a cientos de miles de ordenadores en todo el mundo explotando el código NSA filtrado por Shadow Brokers, este nuevo ataque usa una variante de APT EternalBlue Exploit de Shadow Brokers (CC-1353), que apunta una falla en el servicio Windows Server Message Block (SMB).
En este punto, sin embargo, SophosLabs no ve ninguna evidencia de que Petya se está extendiendo entre organizaciones como un gusano SMB-exploiting, como lo hizo WannaCry. Es sólo el uso de la técnica para difundir en las redes internas.
