El ciberataque sufrido ayer martes 27 de junio que ha afectado a numerosas empresas e instituciones en España y toda Europa es una nueva variante de la familia de ransomware Petya. Se trata de un ransomware descubierto por primera vez en 2016 que cifra el MFT (Master File Tree) y sobrescribe el MBR (Master Boot Record), dejando un mensaje de rescate y deshabilitando completamente los ordenadores afectados. Esta nueva variante es particularmente virulenta porque utiliza múltiples técnicas para propagarse automáticamente dentro de la red de una empresa una vez infectado el primer dispositivo.
Así como sucedió el mes pasado con el virus Wannacry que infectó a cientos de miles de ordenadores en todo el mundo explotando el código NSA filtrado por Shadow Brokers, este nuevo ataque usa una variante de APT EternalBlue Exploit de Shadow Brokers (CC-1353), que apunta una falla en el servicio Windows Server Message Block (SMB).
En este punto, sin embargo, SophosLabs no ve ninguna evidencia de que Petya se está extendiendo entre organizaciones como un gusano SMB-exploiting, como lo hizo WannaCry. Es sólo el uso de la técnica para difundir en las redes internas.
Frente a este ciberataque, Sophos, líder global en seguridad de redes y endpoints, recomienda a los usuarios hacer urgentemente:
- Asegúrese de que los sistemas tengan los últimos parches de seguridad, incluido el del boletín MS17-010 de Microsoft.
- Bloquear la herramienta Microsoft PsExec de los equipos que estén en funcionamiento. Puede bloquearlo usando un producto como Sophos Endpoint Protection. Una versión de esta herramienta se utiliza como parte de otra técnica usada por la variante Petya para difundirla automáticamente.
- Realizar copias de seguridad regularmente y guardarlas off-site. Existen infinidad de maneras por las que puedes perder todos tus datos: incendio, inundación, robo o incluso un borrado accidental. Si tienes una copia de seguridad cifrada en un lugar seguro no tendrás de que preocuparte aunque caiga en malas manos.
- No abrir archivos adjuntos en correos electrónicos de destinatarios que no conoce. La mayor parte del ransomware se encuentra en ficheros adjuntos de correos electrónicos. Extrema las precauciones al abrir estos archivos ya que los ciberdelincuentes se aprovechan del dilema de abrir o no este tipo de archivos.
- Descargar la versión de prueba gratuita de Sophos Intercept X en caso de ser una empresa y para usuarios no comerciales es necesario registrarse para la versión beta gratuita de Sophos Home Premium, ambas soluciones evitan el cifrado sin autorización de ficheros
