Con el antecedente fresco del reciente incidente WannaCry , los sistemas de bancos, aerolíneas y servicios públicos en Europa están en vilo ante un ataque con ransomware (un tipo de código malicioso que blqouea el acceso a los archivos de una computadora y exige el pago de un rescate para liberarlos). Los primeros reportes señalan que las plataformas informáticas de Ucrania fueron el blanco más afectado, entre los cuales se encuentran el banco central, la red de subterráneos y el aeropuerto de Kiev. También afectó a diversas compañías del Viejo Continente, y no tardó en extenderse al resto de las redes informáticas públicas y privadas de todo el mundo.
El malware parece estar aprovechando una vulnerabilidad en Windows para instalarse y distribuirse; como en el caso anterior (WannaCry), Microsoft ya publicó los parches que cierran ese agujero de seguridad, pero cada empresa elige si los instala o no; las que no lo hicieron se encontraron con que múltiples computadoras de sus organizaciones se reiniciaron y el malware encriptó todo el contenido del disco rígido.
Según la compañía de seguridad informática Kaspersky Lab, el ataque fue identificado como Petrwrap, una variante de un ransomware conocido como Petya, identificado en marzo de 2016. "Efectuar el pago por el rescate del equipo no garantiza que los atacantes envíen el software o la contraseña para acceder al equipo, sólo premia su campaña y les motiva a seguir distribuyendo masivamente este tipo de código dañino", dijo por su parte el equipo del Centro Criptológico Nacional de España, que confirmó el ataque informático que afecta a redes con sistemas Windows bajo una modalidad similar a la empleada por WannaCry.
El virus utilizado para realizar el ataque ransomware fue identificado hace un año por diversas compañías de seguridad, como Kaspersky Labs y ESET. Está programado para que se distribuya como un adjunto de un mensaje de correo electrónico, y en sus primeras apariciones apuntó a las compañías privadas, en especial al área de recursos humanos mediante un enlace web apócrifo que buscaba emular un curriculum vitae almacenado en un sitio de descarga de Dropbox. Sin embargo, esta dirección realizaba una descarga de un archivo ejecutable que, luego de ser activado, se producía una pantalla azul de error en Windows.
Tras el reinicio del equipo, Petya procedía infectar al sector de inicio, denominado Master Boot Record (MBR) donde se almacena la información necesaria para iniciar un sistema operativo. De esta forma el ransomware procede a encriptar el disco rígido de forma completa, impidiendo el inicio de Windows o cualquier otro sistema operativo presente en el equipo.
Por su parte, el analista de seguridad informática Allan Liska de Recorded Future dijo que el ataque basado en el virus Petya también podría estar asociado con el troyano Loki Bot, especializado en el robo de información personal, tales como usuarios y contraseñas presentes en las máquinas encriptadas.
La compañía de seguridad Avast dijo que el ataque está basado en el virus Petya, y agregó que esta variante también aprovecha la vulnerabilidad EternalBlue, utilizada por el ransomware WannaCry.
El reciente ataque informático que comenzó en Europa y se extendió al resto del mundo utiliza una variante de este virus.
En todo el mundo
Las repercusiones del virus Petya ya tienen un alcance político tras las declaraciones del secretario del consejo de seguridad de Ucrania, acusó a Rusia de estar detrás del ataque informático que afectó a diversas redes públicas y privadas de su país, desde bancos, aeropuertos y servicios públicos."Nuestros primeros análisis indican que hay huellas que apuntan a Rusia", dijo Oleksandr Turchynov, funcionario del Consejo Nacional de Seguridad y Defensa de Ucrania, citado por la agencia Reuters.
Del sector privado, compañías como WPP y Merck confirmaron desde sus cuentas oficiales en Twitter que sus sistemas fueron afectados por el ataque con el virus Petya en sus oficinas de todo el mundo. A su vez, el puerto de Rotterdam, el más grande de Europa, se encuentra paralizado debido al secuestro virtual de los equipos de sus redes informáticas.