El segmento cibernético ucraniano sufrió otro ataque , esta vez los encriptadores de Ransomware Petya y Misha comenzaron a encriptar la computadora de grandes empresas ucranianas, incluidas las instalaciones de infraestructura crítica como:
- Kyivstargo;
- Ukrenergo;
Creo que, de hecho, son miles de veces más grandes. Como de costumbre, guardarán silencio sobre esto hasta que apagues la luz.
- ¿Es seguro Pushbullet?
- ¿Hay alguna diferencia entre la seguridad de la información y la seguridad del sistema de información?
- ¿Hay mejores oportunidades para nuevos en la piratería ética?
- Quiero hacer un proyecto de último año basado en la seguridad de la información / seguridad informática relacionada con los problemas actuales. ¿Cuáles son algunos temas interesantes sobre los que puedo desarrollar?
- ¿Por qué hay tanto auge de la ciberseguridad?
En este momento , la propagación del virus fue tan rápida que el Servicio Fiscal del Estado desconectó todas las comunicaciones con Internet, y en algunas agencias gubernamentales importantes solo cerró las comunicaciones gubernamentales.
Según nuestra información personal , las unidades SBU y Ciberpolíticas ya han sido transferidas al régimen de emergencia y están lidiando con este problema. No niego que algunos sitios y servicios se puedan deshabilitar como medida preventiva contra la infección. La situación se está desarrollando dinámicamente y la cubriremos.
No solo las grandes empresas están encriptadas, sino los cajeros automáticos junto con sucursales bancarias enteras , compañías de televisión, etc.
Ahora sobre detalles técnicos
- Las primeras versiones de Petya fueron descubiertas mucho antes. Sin embargo, hoy una nueva versión de Petya está desenfrenada en la red.
- Hasta ahora, se sabe que la “Nueva Petya” encripta el sector de arranque MBR del disco y lo reemplaza por el suyo , lo cual es “novedad” en el mundo de Ransomware.
- Una amiga de Misha (el nombre de Internet) que llega más tarde, encripta todos los archivos en el disco (no siempre como Petya).
- Petya y Misha no son nuevas , pero esa difusión global no ha sucedido antes. Empresas sufridas y bastante bien protegidas. Todo está encriptado, incluidos los sectores de arranque (original) y solo tiene que leer el texto del extorsionista, después de encender la computadora. Este virus se propaga utilizando las últimas vulnerabilidades, supuestamente 0 días.
En Internet, ya ha habido intentos de escribir descifradores que solo se ajustan a las versiones antiguas de Petya.
Sin embargo, su rendimiento no está confirmado.
- El problema es que para reescribir el sector MBR por el ransomware Petya, la computadora debe reiniciarse, lo que los usuarios entran en pánico y lo hacen con éxito, “pánico al presionar el botón”, lo llamaría así.
Suposiciones personales:
- El virus fue nombrado “Petia” en honor del presidente de Ucrania, Petro Poroshenko, y se observa el aumento masivo de infección, precisamente en Ucrania y precisamente en las grandes e importantes empresas de Ucrania.
- Los descifradores aún no son aquellos que se publican en Internet, solo se ajustan a las versiones anteriores.
- El sitio del Ministerio del Interior de Ucrania ha sido desconectado. Las fuerzas de seguridad entran en modo de emergencia.
- Uno de los supermercados más grandes de Jarkov también fue encriptado, una foto de la cola del supermercado “ROST” en el cajero debido al encriptador. (Fotos de las redes sociales):
Lista de sitios y estructuras expuestas al ataque cibernético:
- Estructuras estatales: el Gabinete de Ministros de Ucrania, el Ministerio del Interior, el Ministerio de Cultura, el Ministerio de Finanzas, el Consejo Nacional (y sitios regionales), la política cibernética, KCSA, el Ayuntamiento de Lviv, el Ministerio de Energía,
- Banco Nacional
- Bancos: Oschadbank, Sberbank, TASKomertzbank, Ukrgasbank, Pivdenny, OTP Bank, Kredobank.
- Transporte: aeropuerto de Borispol, metro de Kiev, Ukrzaliznytsya
- Medios: Radio Era-FM, http://Football.ua, STB, Inter, First National, TV Channel 24,
- Radio Lux, Radio Maximum, CP en Ucrania, Canal ATP, http://Correspondent.net
- Grandes empresas: Novaya Pochta, Kyivenergo, Naftogaz de Ucrania, DTEK, Dniproenergo, Kievvodokanal, Novus, Epicenter, Arcelor Mittal, Ukrtelecom, Ukrposhta
- Operadores móviles: Lifecell, Kyivstar, Vodafone Ucrania,
- Medicina: “Farma”, clínica Boris, hospital Feofaniya, corporación Arterium,
- Gasolineras: Shell, WOG, Klo, TNK
Para identificar el cifrador de archivos, debe completar todas las tareas locales y verificar la presencia del siguiente archivo:
C: \ Windows \ perfc.dat
- Dependiendo de la versión del sistema operativo Windows , instale un parche del recurso de Microsoft (atención, esto no garantiza el 100% de seguridad porque el virus tiene muchos vectores de infección), a saber:
– para Windows XP
– para Windows Vista de 32 bits
– para Windows Vista 64 bit
– para Windows 7 de 32 bits
– para Windows 7 de 64 bits
– para Windows 8 de 32 bits
– para Windows 8 de 64 bits
– para Windows 10 de 32 bits
– para Windows 10 de 64 bits
- Parece que la nueva subespecie Petya .A que atacó a Ucrania hoy es una combinación de las vulnerabilidades CVE-2017-0199 y MS17-010 (ETERNALBLUE, utilizada en WannaCry para resultados de fuga a través de ShadowBrokers)
- Los especialistas en tecnologías positivas han encontrado un “interruptor de interrupción” local para Petya , para detener el criptógrafo, puede crear un archivo “C: \ Windows \ perfc (perfc – archivo sin extensión)
Aquí el enlace al contenido: El ataque cibernético más grande en Ucrania Ransomware Petya