Últimas noticias

Actualización al 6/28 08.00 GMT + 3

Existe una creciente evidencia de que la campaña #GoldenEye / #Petya ransomware podría no haber sido dirigido para generar ganancias financieras, sino más bien a la destrucción de datos.
• La elección de un proveedor de servicios de correo electrónico regular y no a prueba de balas para actuar como canal de comunicación fue obviamente una decisión equivocada en términos de negocio por parte de los atacantes.
• La falta de automatización en el proceso de recuperación de pagos y claves hace que sea realmente difícil para el atacante completar el circuito y cumplir con sus amenazas.
• Hay una total falta de usabilidad en la confirmación de pago: el usuario tiene que escribir manualmente una "llave de instalación personal" extremadamente larga y mixta + " código wallet de BTC" propenso a errores tipográficos.

Actualización al 6/28 06.00 GMT + 3

Posteo ha suspendido la dirección de correo electrónico que fue utilizada por los atacantes para recibir las confirmaciones de pago. Esto significa que todos los pagos realizados entre esta noche y mañana por la mañana, no podrán validarse y, por tanto, seguramente no recibirán la clave de descifrado. 
No es que alguna vez hayamos aconsejado lo contrario, pero si estaba planeando pagar el rescate, NO lo haga,  pues no solo perderá sus datos de todos modos, sino que contribuirá a financiar el desarrollo de nuevos programas maliciosos. 
Dicho esto, mencionar que ha habido 15 pagos realizados después de la suspensión de la dirección de correo electrónico. La cartera ahora suma 3.64053686 BTC correspondientes a 40 pagos, con un valor neto de $ 9.000.

Actualización  21:30 GMT + 3

Reconocidos actores de la industria han especulado acerca de que el vector de ataque inicial pudo haber sido una actualización comprometida de la utilidad de software de contabilidad de M.E. Doc que todas las compañías atacadas estaban utilizando. 
Sin embargo hemos confirmado infracciones en empresas que no utilizaron la solución de software respectiva, y detectado, un mensaje de Facebook en la página de la empresa, en la que el vendedor niega las acusaciones [ucraniano].

Actualización 20:18 GMT + 3

Varias compañías han confirmado hasta ahora haber sido víctimas del ransomware de GoldenEye / Petya: el sistema de monitoreo de radiación de Chernobyl, el bufete de abogados DLA Piper, la compañía farmacéutica Merck, varios bancos, un aeropuerto, el metro de Kiev, la empresa danesa de transporte y energía Maersk, anunciante británico WPP y la empresa rusa de la industria petrolera Rosnoft. 
Los ataques fueron generalizados en Ucrania, afectando a Ukrenergo, el distribuidor de energía estatal, y varios de los bancos del país.

Actualización 18.45 GMT + 3

Los operadores GoldenEye / Petya ya han recibido 13 pagos en casi dos horas. Eso equivale a $ 3.5K USD en moneda digital.

Actualización 18:30 GMT + 3

Bitdefender Labs confirma que el rescate de GoldenEye / Petya aprovecha la vulnerabilidad de EternalBlue para propagarse de un ordenador a otro además de muchos otros métodos de propagación.
Detalles próximamente.

Historia original:

La información preliminar nos indica que el malware responsable de esta infección es un clon muy parecido a la familia de ransomware GoldenEye. A la hora de enviar esta noticia aún no tenemos información sobre el vector de propagación, pero creemos que se trata de una componente tipo gusano, que permite la infección sin intervención del usuario."

"A diferencia de otro ransomware, la nueva versión de GoldenEye tiene dos niveles de encriptación: una que encripta ficheros blanco en los ordenadores de la víctima, y otra que encripta estructuras NTFS. Este comportamiento previene que se puedan arrancar los ordenadores afectados con algún sistema operativo tipo Live SO (CD o USB) para recuperar los ficheros y las muestras del ransomware."

"Adicionalmente, después de completar el proceso de encriptación, el ransowmare tiene una rutina especializada que para el ordenador para forzar un reinicio que deja el ordenador fuera de uso hasta que no se paga el rescate de 300 USD."