Petya, cuando lo simple es letal

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

Durante el último mes, vivimos una nueva modificación del ransomware conocido como Petya el cual se utilizó en un ataque a gran escala principalmente en compañías con operaciones en Ucrania y la Federación Rusa.

Otras organizaciones también se infectaron a escala global

Los usuarios de M.E.Doc, software de contabilidad ucraniano, son potencialmente considerados como el “paciente cero” en el ataque.

Los atacantes lograron acceder al servidor de actualización de este software legítimo.

Usando el acceso a este servidor, los atacantes empujaron una actualización maliciosa que se aplicó automáticamente sin interacción del usuario.

Tres actualizaciones de software de M.E. Doc, que se publicaron en 2017, contenían una sofisticada puerta trasera que fue inyectada por atacantes en uno de los módulos legítimos de M.E. Doc.

Los hackers probablemente lograron realizar esto debido al acceso al código fuente de M.E.Doc.

El brote de Petya ocurrió cinco días después de la actualización “backdoored” el 22 de junio.

Una vez que las máquinas fueron infectadas, los usuarios se enfrentaron a mensajes que demandaban u$s 300 en Bitcoin para descifrar archivos.

Después de esto, el malware intentó propagarse a través de la red corporativa usando el exploit EternalBlue y PsExec.

En las primeras dos horas, las empresas de energía, telecomunicaciones y finanzas fueron atacadas, y por lo que al menos 80 empresas de todo el mundo se vieron afectadas:

En Rusia: las compañías petroleras Rosneft y Bashneft, Evraz, Home Credit Bank y otros.

En Ucrania: Zaporizhiaoblenergo, Dneproenergo, el sistema de energía eléctrica Dnieper, Mondelez Internacional, Oschadbank, Mars, Nova Poshta, Nivea, TESA, y otras empresas, metro de Kiev, las redes informáticas del Consejo de Ministros y el sitio web del gobierno ucraniano, Tiendas Auchan, y los 3 principales operadores de telecomunicaciones de Ucrania (Kyivstar, LifeCell, Ukrtelecom), también afectaron a Privatbank, el aeropuerto internacional de Boryspil.

A nivel mundial: la firma naviera danesa Maersk, el gigante farmacéutico estadounidense Merck y otros sufrieron a Petya

Después de esto, otras organizaciones alrededor del mundo fueron infectadas.

¿Tomaremos conciencia de la importancia de la seguridad?

 

 

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris