¿En qué se diferencia el nuevo virus Petya de WannaCry?
¿En qué se diferencia el nuevo virus Petya de WannaCry?
Se llama Petya (diminutivo de Pedro en ruso) y su misión es cifrar el sistema operativo o el disco duro de los ordenadores y propagarse por el resto de sistemas conectados a esa misma red. El nuevo ‘ransomware’ que infectó a miles de equipos de multinacionales ucranianas y rusas y, desde allí, al resto de Europa incluyendo las sedes en España de varias de estas grandes empresas.
Esta variante de Petya tiene muchas similitudes con el que ocurrió hace un mes y medio (el famosos WannaCry), sobre todo una vez que ha infectado los equipos, ya que la forma de propagación es la misma. Además, todo parece indicar que está utilizando el exploit SMBv1 ‘EternalBlue’, al igual que anteriormente hizo WannaCry.
Maya Horowitz, responsable del Equipo de Inteligencia de Amenazas de Check Point, explica: “Parece que se trata de una nueva versión del ‘ransomware’ Petya, visto por primera vez en marzo de 2016, y que se está expandiendo muy rápidamente por todo el mundo a través de las redes empresariales de la misma manera que hizo WannaCry el mes pasado”.
Sin embargo, también cuenta con varias diferencias. La más importante es en la forma de infección. «El método de infección es mucho más peligroso que el Wannacry porque se trata de un ataque por ‘phising’, es decir, los usuarios reciben un correo electrónico y al abrirlo los ciberdelincuentes cifran el equipo», asegura a este diario José Rosell, socio director de S2 Grupo.
Otra gran diferencia es que Petya no cifra los archivos en las empresas infectadas uno por uno, sino que bloquea todo el disco duro. «Para protegerse, las agencias deben aplicar la última actualización de seguridad de Microsoft inmediatamente y deshabilitar el protocolo de intercambio de archivos SMBv1 en sus sistemas de Windows», recomienda Horowitz.
Otro consejo que da la experta es que las empresas eduquen a sus empleados sobre los riesgos potenciales de los mensajes de correo electrónico de personas desconocidas, o de emails sospechosos que parecen enviados por contactos conocidos.
Los impactos en España «son claros». La multinacional Maersk, con oficinas en todo el mundo, tiene desde este martes todo su sistema informático caído. Según el experto, «es posible» que alguna entidad financiera y alguna empresa española esté también entre las afectadas, aunque confiesa que «aún es pronto para confirmarlo», asegura José Rosell.
Una expansión rápida
El ataque se ha extendido rápidamente desde Ucrania a través de Europa primero, y después ha alcanzado a América del Norte, América del Sur, Oriente Medio y Asia. Las consecuencias de una expansión tan rápida puede ser un efecto negativo en la vida diaria de los ciudadanos, «paralizando a los servicios de inteligencia de los países afectados y modificando nuestra rutina diaria», aseguran desde CheckPoint.
De momento, solo hay unos 10.000 dólares en la cuenta de BitCoins asociada al ciberataque.
Consejos para evitar ataques
El responsable de Ciberseguridad y Desarrollo de TECHCO Security, Ignacio Rocamora Luján, da una serie de recomendaciones:
-Si no se conoce al remitente, no abrir correos electrónicos tanto en el email corporativo como en el particular; y mucho menos abrir los archivos adjuntos o pinchar en alguno de sus links.
-Aunque al abrir estos archivos o ver estas páginas no se observe nada extraño, el virus estará actuando sin que el usuario lo sepa.
-Si sospechamos que nuestro equipo ha sido afectado, apagarlo inmediatamente y, si está conectado en red, desconectar el cable.
-No reiniciar el ordenador ya que esta medida puede incluso hacer propagar el virus.
-Avisar a todos los compañeros de la empresa y a otras delegaciones para que apaguen todos los equipos. Y ponerse en contacto con el servicio de TI.
-Realizar periódicamente copias de seguridad y mantenerlas a salvo, lejos de los equipos.
-Si es posible, la copia de seguridad no debe ser accesible a través de la red.
-Mantener los equipos (ordenador, móvil, tablets…) actualizados y con antivirus: estos ataques aprovechan las vulnerabilidades del software.
-Si los archivos finalmente son encriptados, recuerde que pagar el rescate no asegura el desencriptamiento.