¡Vienen más! y llegaron: Petya Ransomware

Petya Ransomware

Advertimos que WannaCry es solo la punta del Iceberg y en efecto, solo que aun no han aparecido otros exploits o están en ajustes, mientras tanto, EternalBlue sigue generando dividendos.

El ransomware WannaCry aun no muere y otro ataque de ransomware a gran escala está generando caos a nivel mundial, apagando computadoras en las corporaciones, proveedores de energía y bancos en Rusia, Ucrania, España, Francia, UK, India y Europa y demandando $300 en bitcoins.

De acuerdo a varias fuentes, una nueva variante del ransomware Petya, también conocido como Petwrap, y está esparciéndose rápidamente con la ayuda de la misma vulnerabilidad Windows SMBv1 que usó WannaCry para infectar 300,000 sistemas y servidores a nivel mundial en solo 72 horas en mayo.

¿Qué pasó si yo aplique el parche de Windows?

Muchas victimas han informado que el ransomware Petya también ha infectado sus sistemas parcheados.

Petya usa el Exploit de la NSA Ethernalblue pero también se esparce en las redes internas a través de WMIC y PSEXEC. Esta es la razón por la que los sistemas parcheados pueden verse afectados.

Petya es una pieza de ransomware y trabaja muy diferente a otros malware. A diferencia de otros ransomware tradicionales, Petya no cifra los archivos del sistema uno a uno, en su lugar, Petya reinicia la computadora de la victima y cifra la tabla de archivo maestra del disco (MFT – Master File Table) y hace que el registro maestro de boteo (master boot record) sea inoperativo, restringiendo el acceso al sistema completo mediante la captura de información sobre nombres de archivos, tamaños y ubicación en el disco. Petya reemplaza el MBR de la computadora ocn su propio código malicioso que muestras la nota del ransomware y deja a la computadora sin la habilidad de bootear.

¿Como el ransomware Petya se esparce tan rápido?

Se ha confirmado que el ransomware Petya usa el exploit EternalBlue al igual que WannaCry, sin embargo, también usa métodos de propagación a través de WMIC (Windows Management Instrumentation command-line) y PSEXEC. (CVE-2017-0199 y MS17-010).

A pesar de que Microsoft generó el parche para la vulnerabilidad en todos sus sistemas operativos, hay un remanente importante de usuarios que continúan vulnerables, seguirán siendo atacados por diversas variantes del malware.

Es sorprendente que después de conocer sobre WannaCry, aun compañías importantes no han implementado las medidas adecuadas.

Malware detectable

a diferencia de WannaCry, Pety es detectable. Según VirusTotal, hay un total de 16 antivirus que detectan el ransomware Petya, valide que el suyo esté en la lista y si no, contacte a su proveedor.

Recomendaciones

–          Inmediatamente aplicar los parches en contra del exploit EternalBlue.

–          Deshabilitar SMBv1.0.

–          Deshabilite WMIC.

–          Si su sistema se infectó e intenta reiniciarse, no permita que la maquina inicie de nuevo, déjela apagada, ya que Petya cifra el sector de booteo al iniciar nuevamente, si hace esto, sus archivos estarán a salvo y los puede recuperar booteando por un CD, Pendrive o un equipo externo para recuperar los archivos.

–          Siempre sospeche de archivos y documentos que no ha solicitado, nunca haga click en enlaces que vengan dentro de un correo sin verificar que la fuente es segura.

–          Tenga un buen proceso de backup de sus datos importantes, en sistemas de almacenamientos externos que no estén conectados a su computadora (solo para hacer backup).

–          Por supuesto, esté seguro de correr un buen y efectivo antivirus en su sistema, en caso que aplique, manténgalo actualizado y navegue en Internet de forma segura

Fuentes:

https://blog.malwarebytes.com/threat-analysis/2016/04/petya-ransomware/   –información detallada sobre como funciona el ransomware.

Información tomada del sitio TheHackerNews, con comentarios propios del autor.

En ADV Integradores y consultores estamos a su disposición para apoyarlos con la estrategia de ciberseguridad que permita hacer frente a este tipo de amenazas, definiendo procesos efectivos que gestionen las vulnerabilidades y aplicando controles innovadores, estos son los principales retos a atender todos los que tenemos como responsabilidad mejorar la postura de seguridad de las organizaciones.

Jesús Dubront, CISM Director ADV Integradores y consultores jesus.dubront@adv-ic.com | @jdubront | www.adv-ic.com | @adv_ic  | Linkedin: ADV Integradores y consultores | Facebook:ADV Integradores y consultores

1 Comment

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s