Ransomware PetrWrap/Petya paraliza decenas de empresas

Paralización total en las oficinas españolas de dos grandes multinacionales: la empresa de alimentación Mondelez (matriz de empresas como Cadbury y Nabisco y dueña de marcas como Oreo, Chips Ahoy, TUC), la empresa Nivea y el bufete DLA Piper, una de las mayores firmas legales de todo el mundo, han sufrido esta mañana un ataque de ransomware similar al ocurrido a nivel mundial con Wannacry hace apenas un mes. Y no son las únicas.

El Vice Primer Ministro de Ucrania, Pavlo Rozenko también dijo en su Facebook que Petya cifró sus unidades de disco.

Los analistas de Kaspersky Lab han descubierto PetrWrap, una nueva familia de malware que explota el módulo de ransomware original de Petya, distribuido a través de una plataforma Ransomware-as-a-Service, para realizar ataques dirigidos contra organizaciones concretas. Los creadores de PetrWrap crearon un módulo especial que modifica el ransomware de Petya original «sobre la marcha», dejando a sus autores indefensos contra el uso no autorizado de su malware. Este hecho es indicativo de la creciente competitividad que existe en el mercado negro del ransomware.

En mayo de 2016, Kaspersky Lab descubrió el ransomware Petya que no sólo cifra los datos almacenados en un ordenador, sino que también sobrescribe el registro de arranque maestro (MBR) de la unidad de disco duro, imposibilitando a los ordenadores infectados arrancar el sistema operativo.

Según suponían varios usuarios, PetrWrap está usando el mismo medio de propagación de WannaCry, es decir la explotación de EternalBlue en Windows y el puerto 445 abierto pero los últimos informes confirman que la propagación es por correo electrónico.

Petya cifra los siguientes tipos de archivos:

En DLA Piper todo empezó cerca del mediodía de este martes (hora de Europa), cuando ante los ordenadores de las oficinas de la firma en Madrid, en el número 35 del Paseo de la Castellana, apareció un mensaje que anunciaba la infección. Tras recibir el ataque la firma ordenó apagar inmediatamente los ordenadores. Ahora mismo, los cerca de 100 trabajadores de DLA Piper en España tienen terminantemente prohibido encender sus equipos, enviar emails o hacer cualquier tipo de comunicación que implique usar los sistemas informáticos de la firma.

Los responsables del ataque solicitan al usuario pagar un rescate de 300 dólares y enviar el justificante de pago a una dirección de correo electrónico con una contraseña preestablecida. Por ahora, los ciberdelincuentes han recibido 5 transacciones, la primera de ellas a las 12:48h de hoy (hora de Europa).

En Mondelez, con sede en EEUU, la caída no se ha limitado a España, sino que tiene un alcance mundial. «No funciona nada en ningún país», aseguran. «Hemos hablado con compañeros de Polonia, Inglaterra, Francia, Suiza… a todos se les ha caído el sistema». Por ahora, los empleados siguen a la espera: «Seguimos aquí por si traen ordenadores nuevos, porque el equipo de sistemas nos ha dicho que demos por perdida toda la información que teníamos en los ordenadores, ya que no pueden hacer nada».

Ocurre lo mismo en el laboratorio estadounidense Merck. Varios empleados de la empresa en España han confirmado en España estar sufriendo el mismo ataque.

Por desgracia, esta familia de ransomware utiliza un algoritmo de cifrado fuerte, lo que significa que una herramienta de descifrado está fuera de la cuestión.