Reportes de ataques con una nueva variante del ransomware Petya están alertando desde la mañana de hoy sobre la posible escala mundial que podría tener, como ocurrió con el ataque WanaCrypt0r, también conocido como WannaCry.
Ataques reportados por el ransomware en computadoras de Russia, Ucrania, España, Francia, Reino Unido, India, y Europa, por cuyo rescate se exige $300 USD en Bitcoins. Computadoras de empresas como la agencia británica de publicidad WPP, la constructora francesa Saint-Gobain, la compañía petrolera rusa Rosneft y el gigante naviero danés AP Moller-Maersk han sido afectadas. La infección del ransomware se ha confirmado en más de 14 países, entre ellos los Estados Unidos, México, Irán y Brasil, según Emsisoft.
No se sabe aún cómo es que el malware está llegando a los computadores. Una estimación es que se esté haciendo mediante correo electrónico spam con documentos Office diseñados para explotar la vulnerabilidad CVE-2017-0199 RTF de Office. También se menciona una actualización maliciosa del software de contabilidad MeDoc, muy popular en Ucrania.
Una vez dentro del computador, el ransomware explota la vulnerabilidad MS17-010, a través de un exploit SMB similar a EternalBlue, para su propagación masiva entre las computadoras. También se aprovecha de las herramientas WMIC y PSEXEC de Windows para difundirse dentro de la red local, inclusive en computadoras parchadas. Los archivos afectados son cifrados con AES.
Es recomendable mantener actualizados el antivirus, antimalware, el sistema y las aplicaciones, y por supuesto las copias de seguridad. Por las características de este ransomware, es recomendable aplicar la actualización de seguridad MS17-010 y desactivar WMIC (Windows Management Instrumentation Command-line).