Si no has sido de los desafortunados que se han visto afectados por el virus Petya, enhorabuena, porque por el momento se cifran en más de 2.000 los equipos atacados y unas 80 las compañías afectadas por este ransomware (programa informático que restringe el acceso al sistema infectado). La mayoría de las infecciones se centran en ordenadores de Rusia (30%) y en Ucrania (60%). De hecho, se cree que el ataque era principalmente para este país. Aquí en España, el Centro Criptológico Nacional ha confirmado que varias compañías han sido atacadas, pero son casos aislados y no en masa, como ocurrió en mayo con la crisis de WannaCry.

El modus operandi es parecido al que se vivió en esa ocasión: mensajes de correo electrónico con información de interés para el usuario (curriculums, ofertas de trabajo, información fiscal, facturas…), los cuales, una vez abiertos, infectan el equipo, reiniciándolo y activando una pantalla en letras rojas que solicita un rescate de 300 dólares en bitcoins para recuperar la información.

A pesar de que muchos se refieren a él como Petya, son otros muchos quienes dicen que se trata de una variante del mismo. Desde la empresa de Seguridad Informática Kaspersky Lab hablan de un ransomware complejo (incluso se refieren a él como NotPetya), pero que también se aprovecharía, como el WannaCry, de la vulnerabilidad EternalBlue de los equipos para propagarse, atacando ordenadores con el sistema operativo Microsoft Windows. Desde esta empresa, se ha asegurado que trabajan en el problema y que harán todo lo posible por buscar una solución y proteger a los clientes.

¿Qué diferencias hay con WannaCry?

EternalBlue no es él único elemento de vulnerabilidad que el gusano usa para propagarse. A diferencia del código malicioso WannaCry, el Petya se serviría también de la vulnerabilidad EternalRomance para hacerse con el control del ordenador. Además, una vez dentro, no infecta los archivos uno a uno, sino que se hace con las contraseñas y nombres de usuario que existen en los equipos para ayudarse a propagarse por la red. De tal manera, que le resulta más fácil engañar a los usuarios y penetrar en los equipos. Además, el Petya va un paso más allá, no solo cifrando los archivos, sino también afectando al funcionamiento del equipo.

A pesar de que se desconoce quién se encuentra detrás de este ciberataque masivo, se cree que también tiene que ver con el sistema de actualización de un software ucraniano de contabilidad llamado MéDoc.

¿Solución?

Desde El Centro Criptológico Nacional, dependiente del Centro Nacional de Inteligencia, apuntan que como medida de protección es conveniente la actualización del sistema operativo del ordenador, así como restringir los accesos desde fuera de la compañía, en caso de las empresas.

Alberto Pascual García