Se ha vuelto a producir un ataque masivo de malware. Esta vez un malware que Talos, la división de ciberseguridad de Cisco, ha identificado como «Nyetya’, al mantener diferencias con la variante Petya, Petrwrap o GoldenEye —como también se ha denominado— y que ha afectado a organizaciones de todo el mundo.
Este malware se ha comportado como un gusano extendiéndose por la red afectada, al igual que WannaCry, aunque se propaga de otra manera. Lo hace internamente y no escaneando Internet a través de componentes externos como el email.
Una vez que entra en la red utiliza tres mecanismos para extenderse de forma automática: mediante la vulnerabilidad conocida como Eternal Blue (protocolo SMB de Microsoft) que ya fue explotada por WannaCry en mayo; Psexec, una herramienta legítima de administración de Windows; y WMI, un componente legítimo de Windows.
Este ransomware cifra el MBR (Master Boot Record) del equipo infectado pidiendo un rescate en bitcoins a cambio de recuperar los datos cifrados.
Según los datos de Talos, el ciberataque comenzó en Ucrania, posiblemente a través de una actualización de software para el programa de gestión de impuestos denominado MeDoc, utilizado por un gran número de organizaciones ucranianas o que tienen relación comercial con Ucrania. Posteriormente, ha infectado a organizaciones también en España, Francia, Dinamarca, Reino Unido, Rusia y EE.UU.
Eutimio Fernández, director de seguridad en Cisco España, recuerda que «en este mundo hiperconectado, la cuestión no es si una organización será atacada sino cuándo. Las organizaciones deben adoptar una defensa integrada en la red, que elimine la complejidad de las soluciones puntuales, y que sea capaz de autodefenderse mediante herramientas automatizadas, operando bajo el modelo de detectar una vez y proteger en todas partes y durante todas las etapas de los ataques: antes, durante y después”.