El culpable de los cibersecuestros de más de 2.000 equipos es una variante de un virus informático llamado Petya, también conocido Petwarap. El ransomware ha sido propagado de una forma similar al virus WannaCry culpable de la primera ola de ciberataques. El virus se aprovecha de la misma vulnerabilidad de Microsoft que en el primer ciberataque mundial, por lo que los sistemas que no instalaron la actualización de seguridad de la compañía son algunos de los afectados.
El ataque ha afectado también a equipos que si habían instalado el parche de seguridad, a los cuales el ransomware ha entrado «robando crecendiales y propagandose por la red interna, aunque estén parcheados, es como si el administrador instalase un programa», indica Vicente Díaz, el analista principal de Kaspersky Lab.
El Centro Criptológico Nacional ha aconsejado extremar las precauciones con los emails desconocidos, porque se piensa que en los ordenadores Windows actualizados ha entrado a través de un correo electrónico con un archivo malicioso. Es una variante de Petya, porque hasta hace un año el ransomware atacaba a través de un email con un archivo malicioso. Para su distribución utiliza métodos similares a WannaCry, incluyendo una herramienta de propagación que robaron a la Agencia de Seguridad Nacional (NSA) y se colgó en la red oscura Tor de internet: EternalBlue.
En cambio, Petya tiene un «código más sólido que WannaCry y utiliza más vulnerabilidades», señala Díaz. Sin embargo, no por ello se espera que tenga más impacto que dicho ransomware, sino que es más eficiente.
Los cibersecuestradores pidieron a cambio de la recuperación de sus sistemas un rescate de 300 dólares en bitcoins y el envío de un correo electrónico a una cuenta. Dicho email se ha cerrado horas después de que se iniciara el ataque, por lo que ya no habrá más pagos a los cibersecuestradores. Alrededor de 30 transferencias se han realizado a los secuestradores para que liberen los equipos con un valor de más de 7.600 dólares, aunque se desconoce la identidad de los que han realizado el pago.
España es el 15º país con más intentos de infección de Petya. El foco de cibersecuestros principales se ha observado en Rusia y Ucracia, pero el impacto se ha percibido también en Polonia, Italia, Reino Unido, Alemania, Francia, Estados Unidos, España y otros países.