Una nueva variante de malware comenzó a afectar ayer a múltiples organizaciones de todo el mundo. Talos (la división de inteligencia de ciber-seguridad de Cisco) la ha identificado como el ransomware ‘Nyetya’, al mantener diferencias con la variante Petya, Petrwrap o GoldenEye, como también se ha denominado.
El malware se comporta como un gusano extendiéndose lateralmente por la red afectada, al igual que WannaCry, el ransomware que infectó sistemas de todo el mundo en mayo. Sin embargo, a diferencia de WannaCry, de momento se propaga internamente y no escaneando Internet a través de componentes externos como el e-mail.
Infección y vías de propagación
Una vez entra en la red, Nyetya utiliza tres mecanismos para extenderse de forma automática: mediante la vulnerabilidad conocida como Eternal Blue (protocolo SMB de Microsoft) que ya fue explotada por WannaCry en mayo; Psexec, una herramienta legítima de administración de Windows; y WMI, un componente legítimo de Windows.
Esta nueva variante de ransomware cifra el MBR (Master Boot Record) del equipo infectado -algo similar a la lista de contenidos del disco duro- pidiendo un rescate en bitcoins a cambio de recuperar los datos cifrados.