Petya es uno de los ransomware más peligrosos que, cuando infecta el ordenador de la víctima, automáticamente cifra la MBR y la tabla de particiones del disco duro perdiendo el acceso a todos los datos. Los responsables de este ransomware también han creado Mischa, una amenaza convencional que, cuando la anterior no puede actuar, procede con el cifrado, uno a uno, de todos los datos. Con el fin de seguir amenazando la red, los responsables de estas dos amenazas han creado una nueva variante, combinación de ambas, denominada Goldeneye.
Después de que tanto Petya como Mischa han podido ser descifrados, los piratas informáticos responsables de ambas amenazas quieren seguir amenazando a los usuarios a través de la red y, por ello, han creado una nueva amenaza conocida como Goldeneye.
Este nuevo ransomware combina las funcionalidades de los dos anteriores (es decir, cifra la MBR del disco si se ejecuta con permisos de administrador y, si no lo hace, cifra los datos uno a uno) y, además, implementa una serie de medidas de seguridad adicionales con el fin de esconderse de la mayoría de las soluciones de seguridad y, de paso, soluciona los fallos que han permitido a los expertos de seguridad descifrar ambas amenazas en el pasado.
Cómo infecta Goldeneye a sus víctimas
Por el momento, la empresa de seguridad que ha descubierto esta amenaza, Malwarebytes, asegura que los piratas informáticos tienen activa una campaña enfocada principalmente a Alemania, sin embargo, no destacan que, en breve, esta campaña se abra a más países, como España, con el fin de infectar al mayor número de usuarios posible.
Cuando Goldeneye se ejecuta en un ordenador, lo primero que hace es instalarse automáticamente dentro de la ruta “%APPDATA%” del sistema. Una vez instalado, se ejecuta automáticamente y comienza la tarea de infección.
A diferencia de los dos ransomware anteriores, este nuevo comienza cifrando los datos del disco duro uno a uno como un primer ataque de manera que se asegura, al menos, una infección. Una vez termina, Goldeneye intenta ejecutar el payload para cifrar el disco duro. Si consigue permisos de administrador, automáticamente el ransomware cifra el MBR y se instala en él, causando un error en el sistema, reiniciando el ordenador y mostrando al usuario la temida pantalla de la infección.
Por el momento no existe forma de recuperar los datos cifrados por esta amenaza. Los usuarios infectados, lo único que pueden hacer es probar suerte a pagar el elevado rescate de 1.3 Bitcoin. Una vez pagado el rescate, los piratas informáticos les facilitan una herramienta para descifrar los datos. Esta herramienta también nos pedirá la clave de descifrado de los datos y, además, asegura que, si la introducimos mal, es posible que hasta perdamos por completo nuestros datos.
Sin duda, una nueva amenaza muy preocupante y peligrosa que combina dos de los peores ransomware vistos hasta ahora y que, por desgracia, ya está infectando a un número considerable de usuarios. Como dato curioso para finalizar, Petya y Mischa son los nombres de los dos satélites de la película de James Bond “GoldenEye”, y de ahí el nombre de este ransomware que combina ambas amenazas en una sola.
Fuente: https://www.redeszone.net
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
