Opinión Info Opinión

Se insta a los afectados a no pagar el rescate

Última hora: Lo que necesitas saber sobre el brote de ransomware 'Petya'

José de la Cruz, director Técnico de Trend Micro Iberia29/06/2017

El martes 27 de junio la actualidad volvió a inundarse con noticias sobre otra epidemia de ransomware del estilo a WannaCry que estaba causando estragos y sembraba el caos en organizaciones de todo el mundo. En pocas horas, al parecer, había infectado a grandes firmas, compañías de servicios públicos, departamentos gubernamentales y muchos otros.

El equipo global de investigadores de amenazas de Trend Micro ha estado siguiendo de cerca el rápido desarrollo de esta campaña de ataque de ransomware, así que aquí está lo que los líderes y responsables de TI de España deben saber.

¿Qué es este último ataque?

Es una variante de Petya, una familia de ransomware vista por primera vez en 2016 y detectada por Trend Micro como RANSOM_PETYA.SMA. Después de infectar con éxito una máquina, esta versión modificará su registro de arranque maestro (MBR) haciendo que el sistema no arranque y confirmando que los usuarios quedan bloqueados mientras se muestra una nota de rescate que exige un pago de 300 dólares en Bitcoins. A continuación, cifra más de 60 tipos de archivos poniendo especial foco en los que se utilizan con mayor frecuencia en configuraciones de empresa - por ejemplo, los tipos de archivo de imagen y vídeo se salvan.

Se insta a las organizaciones afectadas a no pagar el rescate ya que la cuenta de correo electrónico utilizada por los atacantes para validar los pagos ha sido desactivada por el proveedor Posteo.

Imagen

¿Cómo se propaga?

Esta amenaza primero intentará propagarse a través de una versión modificada de PsExec, una herramienta de administración del sistema legítima, para instalar el ransomware. Si no tiene éxito, abusa de Windows Management Instrumentation Command (WMIC), otra interfaz de secuencias de comandos legítima, para ejecutar el ransomware en la máquina. Se cree que el uso de herramientas legítimas como esta ayuda a evadir los controles de seguridad tradicionales.

Solo si estas tácticas fallan, la amenaza recurrirá al mismo vector de infección que WannaCry: el exploit EternalBlue de la NSA que apunta a (MS17-010), una vulnerabilidad en Server Message Block de Windows.

Para ayudar a su propagación localmente, la amenaza también despliega una versión de Mimikatz, una herramienta de seguridad legítima que extraerá nombres de usuario y contraseñas de la máquina objetivo. Si ese PC tiene credenciales de administrador instaladas, entonces la amenaza podría extenderse a todas las máquinas de la red a través de PsExec/WMIC.

¿Cómo puedo mitigar la amenaza?

Como puede ver, esta amenaza es más compleja que WannaCry, con múltiples métodos de infección incorporados. Eso significa que la forma más efectiva de mitigar el riesgo es a través de un enfoque multicapa de defensa en profundidad. Esto debe incluir:

  • La concienciación del usuario es fundamental, estar alerta antes de abrir correos electrónicos que procedan de fuentes desconocidas o de pinchar en enlaces que no parezcan correctos. También es importante sensibilizar y concienciar a los usuarios sobre lo que deben hacer si creen que han recibido un email sospechoso o si les anima a visitar un sitio dañino
  • Actualización de sistemas con los últimos parches para bloquear el riesgo de explotación a través de EternalBlue. Considere el uso de parches virtuales si por alguna razón no puede implementar inmediatamente los parches del proveedor.
  • Aplicar políticas de 'privilegios mínimos' a todos los PC corporativos para ayudar a restringir su propagación.
  • Restringir y proteger las herramientas de administración del sistema como PowerShell y PsExec.
  • Deshabilitar herramientas y protocolos en sistemas que no los requieran. Comience por bloquear el puerto TCP 445.
  • Hacer copias de seguridad con regularidad siguiendo la regla 3-2-1: 3 copias de seguridad en 2 medios diferentes con 1 copia de seguridad fuera de sitio.
  • Monitorización proactiva de las redes en busca de comportamiento sospechoso.
  • Implementar segmentación de red y categorización de datos para detener la propagación de ransomware.
  • Monitorizar el comportamiento puede bloquear la actividad inusual, como los sistemas de cifrado.

La seguridad el gateway de correo electrónico y la categorización de URL para bloquear sitios maliciosos pueden reducir aún más la superficie de ataque.

Comentarios al artículo/noticia

Nuevo comentario

Atención

Los comentarios son la opinión de los usuarios y no la del portal. No se admiten comentarios insultantes, racistas o contrarios a las leyes vigentes. No se publicarán comentarios que no tengan relación con la noticia/artículo, o que no cumplan con el Aviso legal y la Política de Protección de Datos.

Advertencias Legales e Información básica sobre Protección de Datos Personales:
Responsable del Tratamiento de sus datos Personales: Interempresas Media, S.L.U. Finalidades: Gestionar el contacto con Ud. Conservación: Conservaremos sus datos mientras dure la relación con Ud., seguidamente se guardarán, debidamente bloqueados. Derechos: Puede ejercer los derechos de acceso, rectificación, supresión y portabilidad y los de limitación u oposición al tratamiento, y contactar con el DPD por medio de lopd@interempresas.net. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar una reclamación ante la AEPD.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos