Ransomware de la familia Petya está usando la vulnerabilidad EternalBlue para infectar computadoras en todo el mundo

Jakub Křoustek 27 jun 2017

Ahora en tiempo real en el mundo: ramsomware de la base de Petya se está propagando e infectando computadoras en todo el mundo.

Un masivo ataque cibernético está atacando nuevamente a nivel mundial, empezando por varias empresas en Ucrania, incluyendo bancos, empresas de energía y servicios de transporte, además de organismos gubernamentales. Creemos que se trata de otro ransomware basado en  Petya, identificado por primera vez en 2016. Algunos meses atrás, otro ransomware de la familia Petya apareció en diferentes ataques y fue llamado PetrWrap. El actual ataque parece estar diseminando por Rusia, India, Francia, España y Holanda, y los cibercriminales detrás de estos ataques están exigiendo 300 dólares de rescate, solicitando ser pagados en la criptomoneda Bitcoin.

Screen Shot 2017-06-27 at 9.47.04 AM-1.jpg

Mientras analizábamos el brote, descubrimos un vector de infección atado a un actualizador para un software de contabilidad ucrainiano, MEDoc.

Cuando esta modificación de Petya infecta la red, continua propagándose utilizando dos métodos diferentes. Los métodos son: 1. propagándose a través de la red de Windows utilizando los credenciales de la víctima (llevado a cabo mediante una herramienta como Mimikatz, que extrae las contraseñas) y herramientas legítimasPsExec y WMIC. 2. abusando de dos vulnerabilidades SMB, EternalBlue (la misma vulnerabilidad utilizada por WannaCry) y EternalRomance. Microsoft publicó en marzo un parche para ambas vulnerabilidades.

Esta modificación del Petya parece estar diseminandose a través de la vulnerabilidad EternalBlue, la misma que fue utilizada por WannaCry. El día de hoy (27-06-2017), hasta el momento, ya detectamos y bloqueamos 12.000 ataques tratando de abusar de EternalBlue. El comprobador de Wi-Fi de Avast escanea redes y puede detectar si un equipo (que utiliza Avast u otro que no, pero que está en la misma red) tiene la vulnerabilidad EternalBlue abierta o no. El análisis de datos hasta ahora muestran que 38 millones de computadoras que fueron escaneados la semana pasada aún no han sido actualizadas y que por lo tanto están en peligro. El número final de equipos vulnerables probablemente es mucho mayor. Los 4 sistemas operativos más afectados, según nuestros datos, son (en orden): Windows 7 (78%), Windows XP (14%), Windows 10 (6%) y Windows 8.1 (2%).

Blog_Avast_Petya_ransomware_1920x1000px_RGB_Jun_2017-3.jpg

Esta cepa cifra los archivos con cifrado AES-128 (modo CBC) con una clave generada aleatoriamente. Esta clave AES se cifra adicionalmente utilizando una clave RSA-2048 pública que se almacena en la muestra. La clave de cifrado resultante se almacena en el archivo README.txt junto con las notas de rescate. Tras el cifrado, el ransomware también modifica el registro de inicio maestro (MBR) de la unidad del sistema, lo que impide que Windows se inicie tras el siguiente reinicio, lo que es invocado por esta cepa tras el cifrado. Al final, la víctima sólo observará una imagen similar a la anteriormente descrita.

Recomendamos enfáticamente que los usuarios de Windows - domésticos y corporativos - actualicen sus sistemas lo más rápido posible y que además se aseguren que sus antivirus también estén actualizados.

Aunque no supimos quién está detrás de ese ataque en concreto, sabemos que una de las principales características del ransomware Petya es que sus creadores lo venden en el mercado negro con un sistema de cascada, lo que genera a los distribuidores hasta el 85% del total de los rescates pagados, mientras el 15% restante se envía a los creadores del malware. Los creadores del malware proporcionan toda la infraestructura, servidores C & C, y el sistema de transferencia financiera. Este tipo de modelo se denomina "ransomware como servicio" (RaaS) "y, como habíamos previsto a principios de 2017, que permite a los creadores de malware utilizar otros cibercriminales con menor conocimiento técnico como distribuidores de sus ransomwares.

 Protección de Avast

Los usuarios que utilicen las últimas versiones de Avast están protegidos contra el ransomware basado en Petya. Si tu PC ha sido infectado por Petya, nuestro antivirus lo detectará, lo moverá a cuarentena y lo destruirá. Si detecta que Petya está tratando de entrar en tu computadora, lo bloqueará. Proporcionaremos actualizaciones contantes para asegurarnos de que los usuarios están protegidos frente a futuras nuevas variantes. Por último, recomendamos a todos los usuarios de Windows que actualicen el sistema con los últimos parches disponibles. 

--> -->