Según se desprende de un estudio realizado por Kaspersky Lab, la mitad de las compañías afectadas por el reciente ransomware Petya pertenecían al sector industrial. Esta nueva modalidad, a pesar de tener ciertas similitudes a PetrWrap (Petya modificado), finalmente se confirmó que no tenía ninguna conexión con el anterior ataque de WannaCry que se produjo apenas hace unas semanas.

Según la telemetría aplicada por la empresa de seguridad Kaspersky Lab, los ciberdelincuentes están modificando sus hábitos para lanzar vectores de ataque ransomware a organizaciones y empresas, en lugar de dirigirse hacia ambientes domésticos, como lo hacían antes. Así, las empresas industriales no son una excepción.

Las amenazas como ExPetr (Petya) son extremadamente peligrosas para las infraestructuras críticas y las empresas industriales porque el ataque puede afectar potencialmente a los sistemas de automatización y a los procesos de control considerados críticos. De este modo, los ataques se vuelven más violentos, dado que más allá de poder afectar a la producción de las organizaciones o las finanzas de cualquier negocio, también se extienden a la condición humana. Por sectores, muchas compañías industriales se habrían visto afectadas por el malware ExPetr (Petya), a las que le siguen empresas de petróleo y gas, y sectores de fabricación.

Así se propaga

El informe también detalla las formas de propagación empleadas por el ransomware dentro de una red local. De hecho, ExPetr (Petya) puede llegar a emplear dos modalidades: en un primer momento, cuando una de las PC es infectada, se propaga al resto valiéndose de modificación de los exploits de EternalBlue y EternalRomance. De esta forma, utiliza vulnerabilidades del servicio SMB v.1 de diversas versiones de Windows, comenzando por Windows XP hasta los actuales en los casos en los que los sistemas no se encuentran actualizados.

La otra modalidad para propagarse por la red es ejecutarse a través de herramientas PsExec y WMI. Utiliza credenciales de cuentas de usuario locales robadas mediante una herramienta maliciosa similar a Mimikatz.

El malware sobrescribe el sector de arranque MBR del disco duro de las computadoras que son víctimas, mostrando las instrucciones de pago para proceder con la desencriptación de la información. Dicho malware utiliza algoritmos criptográficos generados de forma segura con una clave de cifrado AES de 128 bits, independiente para cada archivo que se cifra, utilizando la clave pública RSA-2048 perteneciente a actos maliciosos.

El brote mundial de ExPetr se desencadenó el pasado 27 de junio. El malware atacó al menos 2,000 objetivos, en su mayoría organizaciones en Ucrania y Rusia. También se han registrado ataques en España, Polonia, Italia, Alemania, Reino Unido, China, Francia y otros países. El malware habría afectado unos 2,000 objetivos, en su mayoría organizaciones en Ucrania y Rusia.