Ninguna empresa española pública se ha visto afectada por el virus Petya

En un comunicado para hacer balance de la situación una día después del ataque, el CCN-CERT explica que la campaña utiliza una posible variante englobada en la familia Petya así como que sus primeros casos se detectaron en empresas ubicadas en Ucrania y afectó posteriormente a algunas multinacionales con sede en España.

El código dañino utilizado en este ciberataque es "más sofisticado" que en el caso de WannaCry y, en esta ocasión, podría tratarse de "un ataque más dirigido", ya que la detección inicial del mismo fue localizada con una rápida expansión. Además, apuntan que da la sensación de que el agresor "no parece pretender obtener un beneficio económico, sino perjudicar a las víctimas", ya que no ha adoptado las medidas habituales para conseguir el anonimato y la disponibilidad del servicio de cobro propia de otras campañas de cibercrimen.

Dicho centro añade que el proveedor de servicio de Internet ha bloqueado la dirección de correo utilizada para el pago del rescate, por lo que las víctimas no pueden obtener las claves de recuperación al inhabilitar la vía de comunicación con el atacante; e informa de que los sistemas operativos objetivo son los de Windows y como hipótesis de vectores de infección se han planteado dos posibilidades por confirmar: un correo electrónico de spear phishing con un fichero adjunto que explotaría la vulnerabilidad de Microsoft o una actualización dañina de un programa comercial destinada al ámbito financiero.

El CCN explica que tras la infección inicial en un equipo, el código intenta obtener privilegios y continúa con un reconocimiento de la red local en busca de otras máquinas para propagarse usando diferentes vías. En las pruebas realizadas en sistemas Windows 10 con privilegios de administrador, el código dañino es detectado y bloqueado por Windows Defender.