WannaCry no es el único ransomware que ha querido marcar el presente año con su presencia ya que, más de un mes después, aparece Petya, el ransomware que está comenzando a propagarse en estos momentos por todo el mundo rápidamente aprovechando, al igual que WannaCry, el exploit conocido como EternalBlue, supuestamente desarrollado por la NSA, el cual se aprovecha de una vulnerabilidad en el protocolo SMB y del que ya se resolvió a través del parche de seguridad MS17-01 que Microsoft lanzó en el pasado mes de marzo.
Según un investigador de la firma Kaspersky Lab, Petya usa una falsa firma digital de Microsoft.
Los primeros informes han indicado que los ataques iban dirigidos hacia Ucrania pero informes más recientes indican que el ransomware también está afectando a sistemas de Francia, España, Rusia e India, afectando tanto a empresas como a organismos gubernamentales, como indican desde TechCrunch.
Además, todo apunta a que Petya también comenzará a dirigirse hacia otros países en las próximas horas. De momento entre las víctimas hay compañías rusas de acero y petróleo, empresas de transporte y otras relacionadas con la industria del petroleo, así como instituciones financieras de varios países.
La expansión de Petya indica a las claras que no se ha tomado en serio a WannaCry en su momento y que Petya se aprovecha de nuevo el hecho de que no se haya parcheado los sistemas vulnerables para secuestrar sistemas informáticos de todo el momento y exigir rescates para su desbloqueo, generalmente en Bitcoins.
Actualización: Kaspersky ha informado más detalle sobre al problema:
Los analistas de Kaspersky Lab están investigando la nueva ola de ataques de ransomware dirigidos a organizaciones de todo el mundo. Nuestros resultados preliminares sugieren que no es una variante de Petya ransomware como se ha informado públicamente, sino un nuevo ransomware que no se ha visto antes. Por eso lo hemos llamado NotPetya.
Los datos de telemetría de la compañía indican, hasta la fecha, el ataque a unos 2.000 usuarios. Las organizaciones de países como Rusia y Ucrania han sido las más afectadas. Además hemos registrado impactos de este ataque en Polonia, Italia, Reino Unido, Alemania, Francia, Estados Unidos, España y en otros países.
Se trata de un ataque complejo que involucra varios vectores. Podemos confirmar que el exploit modificado EternalBlue se ha usado para la propagación, al menos dentro de la red corporativa.
Kaspersky Lab ha detectado la amenaza como UDS: DangeroundObject.Multi.Generic.Recomendamos a todas las empresas a actualizar su software de Windows, comprobar su solución de seguridad y asegurarse de que tienen una copia de seguridad y detección de ransomware.
Como puede verse, no se trata de Petya…