Marcas, identidad, comunicación, formación: Gestión integral de la comunicación y el conocimiento
Se insta a los afectados a no pagar el rescate

Última hora: Lo que necesitas saber sobre el brote de ransomware 'Petya'

José de la Cruz, director Técnico de Trend Micro Iberia

29/06/2017

El martes 27 de junio la actualidad volvió a inundarse con noticias sobre otra epidemia de ransomware del estilo a WannaCry que estaba causando estragos y sembraba el caos en organizaciones de todo el mundo. En pocas horas, al parecer, había infectado a grandes firmas, compañías de servicios públicos, departamentos gubernamentales y muchos otros.

El equipo global de investigadores de amenazas de Trend Micro ha estado siguiendo de cerca el rápido desarrollo de esta campaña de ataque de ransomware, así que aquí está lo que los líderes y responsables de TI de España deben saber.

¿Qué es este último ataque?

Es una variante de Petya, una familia de ransomware vista por primera vez en 2016 y detectada por Trend Micro como RANSOM_PETYA.SMA. Después de infectar con éxito una máquina, esta versión modificará su registro de arranque maestro (MBR) haciendo que el sistema no arranque y confirmando que los usuarios quedan bloqueados mientras se muestra una nota de rescate que exige un pago de 300 dólares en Bitcoins. A continuación, cifra más de 60 tipos de archivos poniendo especial foco en los que se utilizan con mayor frecuencia en configuraciones de empresa - por ejemplo, los tipos de archivo de imagen y vídeo se salvan.

Se insta a las organizaciones afectadas a no pagar el rescate ya que la cuenta de correo electrónico utilizada por los atacantes para validar los pagos ha sido desactivada por el proveedor Posteo.

foto

¿Cómo se propaga?

Esta amenaza primero intentará propagarse a través de una versión modificada de PsExec, una herramienta de administración del sistema legítima, para instalar el ransomware. Si no tiene éxito, abusa de Windows Management Instrumentation Command (WMIC), otra interfaz de secuencias de comandos legítima, para ejecutar el ransomware en la máquina. Se cree que el uso de herramientas legítimas como esta ayuda a evadir los controles de seguridad tradicionales.

Solo si estas tácticas fallan, la amenaza recurrirá al mismo vector de infección que WannaCry: el exploit EternalBlue de la NSA que apunta a (MS17-010), una vulnerabilidad en Server Message Block de Windows.

Para ayudar a su propagación localmente, la amenaza también despliega una versión de Mimikatz, una herramienta de seguridad legítima que extraerá nombres de usuario y contraseñas de la máquina objetivo. Si ese PC tiene credenciales de administrador instaladas, entonces la amenaza podría extenderse a todas las máquinas de la red a través de PsExec/WMIC.

¿Cómo puedo mitigar la amenaza?

Como puede ver, esta amenaza es más compleja que WannaCry, con múltiples métodos de infección incorporados. Eso significa que la forma más efectiva de mitigar el riesgo es a través de un enfoque multicapa de defensa en profundidad. Esto debe incluir:

  • La concienciación del usuario es fundamental, estar alerta antes de abrir correos electrónicos que procedan de fuentes desconocidas o de pinchar en enlaces que no parezcan correctos. También es importante sensibilizar y concienciar a los usuarios sobre lo que deben hacer si creen que han recibido un email sospechoso o si les anima a visitar un sitio dañino
  • Actualización de sistemas con los últimos parches para bloquear el riesgo de explotación a través de EternalBlue. Considere el uso de parches virtuales si por alguna razón no puede implementar inmediatamente los parches del proveedor.
  • Aplicar políticas de 'privilegios mínimos' a todos los PC corporativos para ayudar a restringir su propagación.
  • Restringir y proteger las herramientas de administración del sistema como PowerShell y PsExec.
  • Deshabilitar herramientas y protocolos en sistemas que no los requieran. Comience por bloquear el puerto TCP 445.
  • Hacer copias de seguridad con regularidad siguiendo la regla 3-2-1: 3 copias de seguridad en 2 medios diferentes con 1 copia de seguridad fuera de sitio.
  • Monitorización proactiva de las redes en busca de comportamiento sospechoso.
  • Implementar segmentación de red y categorización de datos para detener la propagación de ransomware.
  • Monitorizar el comportamiento puede bloquear la actividad inusual, como los sistemas de cifrado.

La seguridad el gateway de correo electrónico y la categorización de URL para bloquear sitios maliciosos pueden reducir aún más la superficie de ataque.

Comentarios al artículo/noticia

Nuevo comentario

Atención

Los comentarios son la opinión de los usuarios y no la del portal. No se admiten comentarios insultantes, racistas o contrarios a las leyes vigentes. No se publicarán comentarios que no tengan relación con la noticia/artículo, o que no cumplan con las condiciones de uso.

ÚLTIMAS NOTICIAS

OPINIÓN

OTRAS SECCIONES

SERVICIOS