La mitad de las compañías afectadas por ExPetr (Petya) pertenecen al sector industrial
Según desvela Kaspersky Lab, cerca de 2000 objetivos se habrían visto afectados por el reciente ransomware ExPetr, siendo el 50% compañías pertenecientes a sectores industriales y de fabricación.
Según se desprende de un estudio llevado a cabo por Kaspersky Lab, la mitad de las compañías que se vieron afectadas por el reciente ransomware Petya pertenecían al sector industrial. Esta nueva modalidad, a pesar de tener ciertas similitudes a PetrWrap (Petya modificado), finalmente se confirmó que no tenía ninguna conexión con el anterior ataque de WannaCry que se produjo apenas hace unas semanas.
Según la telemetría aplicada por la compañía de seguridad Kaspersky Lab, los atacantes están modificando sus hábitos para lanzar vectores de ataque ransomware a organizaciones y empresas, en lugar de dirigirse como anteriormente hacían hacia entornos domésticos. Así, las empresas industriales no son una excepción.
Las amenazas como ExPetr (Petya) son extremadamente peligrosas para las infraestructuras críticas y las empresas industriales porque el ataque puede afectar potencialmente a los sistemas de automatización y procesos de control considerados críticos. De este modo, los ataques se vuelven más violentos, dado que más allá de poder afectar a la producción de las organizaciones o las finanzas de cualquier negocio, también se extiende a la condición humana. Por sectores, muchas compañías industriales se habrían visto afectadas por el malware ExPetr (Petya), a las que le siguen empresas de petróleo y gas, y sectores de fabricación.
El informe también detalla las formas de propagación empleadas por el ransomware dentro de una red local. De hecho, ExPetr (Petya) puede llegar a emplear dos modalidades. En un primer momento, una vez que uno de los PC es infectado, se propaga al resto valiéndose de modificación de los exploits de EternalBlue y EternalRomance. De esta forma, utiliza vulnerabilidades del servicio SMB v.1 de diversas versiones de Windows, comenzando por Windows XP hasta los actuales en los casos en los que los sistemas no se encuentran actualizados.
La otra modalidad para propagarse por la red es ejecutarse a través de herramientas PsExec y WMI. Utiliza credenciales de cuentas de usuario locales robadas mediante una herramienta maliciosa similar a Mimikatz.
El malware sobrescribe el sector de arranque MBR del disco duro de los ordenadores que son víctima, mostrando las instrucciones de pago para proceder con la desencriptación de la información. Dicho malware utiliza algoritmos criptográficos generados de forma segura con una clave de cifrado AES de 128 bits, independiente para cada archivo que se cifra, utilizando la clave pública RSA-2048 perteneciente a actos maliciosos.
El brote mundial de ExPetr se desencadenó el 27 de junio. El malware atacó al menos 2000 objetivos - en su mayoría organizaciones en Ucrania y Rusia. También se han registrado ataques en España, Polonia, Italia, Alemania, Reino Unido, China, Francia y varios otros países. El malware habría afectado a al menos 2000 objetivos - en su mayoría organizaciones en Ucrania y Rusia.
