justinkendra - Fotolia

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Lecciones clave del ataque de ransomware ‘Petya’

Si bien la comunidad de seguridad cibernética sigue trabajando para comprender el último ataque de ransomware que ha afectado a 60 países, hay lecciones clave que aprender.

Los investigadores de seguridad están luchando para llegar a un consenso sobre si el ransomware responsable de los últimos ataques globales es una nueva versión de Petya o no, e incluso si se trata de un verdadero ransomware, pero lo que han aprendido hasta ahora podría ayudar a guiar las estrategias de seguridad.

Aquellos que apoyan la retención del nombre Petya señalan que esencialmente se comporta exactamente de la misma manera porque está diseñado para:

  • Cifrar archivos en disco sin cambiar la extensión del archivo.
  • Reiniciar por la fuerza la máquina después de la infección.
  • Cifrar el registro de arranque maestro en las máquinas afectadas.
  • Presentar una pantalla falsa CHKDSK como una cubierta para el proceso de cifrado.
  • Presentar una pantalla de demanda de rescate casi idéntica después de completar sus actividades.

Según la última actualización sobre el malware, Kaspersky Lab dice que el análisis de código ha revelado que es técnicamente imposible descifrar los discos de las víctimas.

Para descifrar el disco de una víctima, los actores de la amenaza necesitan el ID de instalación, y en versiones anteriores de ransomware "similares" como Petya/Mischa/GoldenEye, este ID de instalación contenía la información necesaria para la recuperación de claves, dijeron investigadores de la firma de seguridad.

Sin embargo, encontraron que el nuevo malware –que ellos han llamado ExPetr– no tiene ningún mecanismo de recuperación, lo que significa que el agente de amenaza no podría extraer la información necesaria para el descifrado.

En resumen, las víctimas no podrían recuperar sus datos aunque pagaran el rescate, dijeron los investigadores, lo que vuelve a cuestionar el motivo detrás del malware.

Este descubrimiento no solo respalda más el consejo anterior de la comunidad de seguridad de no pagar el rescate, sino que también plantea más preguntas sobre el verdadero propósito del malware, y es probable que aliente más especulaciones de que podría haber sido pensado únicamente como un medio para causar trastornos con el fin de enmascarar alguna otra actividad maliciosa.

Esta opinión está respaldada por la última declaración del Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC), de que mientras manejaba el impacto del incidente en el Reino Unido, los expertos del NCSC han encontrado pruebas que cuestionan los juicios iniciales de que la intención era recaudar un rescate. "Estamos investigando con la NCA y la industria si la intención era interrumpir, más que cualquier beneficio financiero", dijo el NCSC.

Cualquiera que sea el verdadero propósito, el análisis del malware ha confirmado algunas de las lecciones aprendidas de WannaCry, y ha agregado otras que las organizaciones deberían considerar para mejorar sus capacidades de defensa cibernética contra futuras amenazas.

Las lecciones clave que han surgido hasta ahora son:

1. Tener las últimas versiones de software y garantizar que están parchadas hasta la fecha proporcionará un largo avance en la reducción de la vulnerabilidad de las organizaciones a ataques cibernéticos.

2. El malware está utilizando cada vez más herramientas legítimas para que la actividad maliciosa pase desapercibida. En el caso de ExPetr, se usaron dos herramientas administrativas comunes de Windows, la línea de comandos de instrumentación de administración de Windows (WMIC) y PsExec.

Según la firma de gestión de riesgos Kroll, si bien el uso de estas y otras herramientas "no maliciosas" por intrusos para moverse silenciosamente dentro de las redes no es nuevo, su uso en un ataque tan extendido y automatizado sí es novedad.

Este conocimiento subraya el valor de implementar sistemas modernos de detección y respuesta de amenazas, y el uso de personal capacitado o socios externos de confianza para identificar y contener este tipo de ataque, dijo Kroll en sus últimos consejos a los clientes.

El movimiento lateral es una cuestión de seguridad

Al igual que WannaCry, expertos en seguridad dicen que ExPetr demuestra que el movimiento lateral es un problema de seguridad grave. Sin embargo, los entornos que han adoptado arquitecturas de perímetro definidas por software para limitar el movimiento lateral probablemente verán un impacto mucho menor en comparación con las tradicionales redes abiertas, de acuerdo con la firma de seguridad Cyxtera Technologies.

3. El malware está secuestrando los mecanismos de actualización de software para propagar malware, y es probable que use esta técnica cada vez más en el futuro.

Microsoft ha confirmado que, en algunos casos, ExPetr secuestró la instalación de actualización automática del software de contabilidad de impuestos M.E.Doc que es ampliamente utilizado en Ucrania, por lo que el país fue particularmente golpeado.

A la luz de este hecho, las organizaciones deben reconocer el riesgo muy real planteado por terceros, tales como proveedores de software y proveedores de servicios. Como mínimo, Kroll aconseja a las organizaciones que revisen todos los procesos de gestión de riesgo del proveedor e instituyan controles que mitiguen vulnerabilidades potenciales.

En octubre de 2016, Forcepoint Security Labs advirtió de actualizaciones de software no aprobadas que son entregadas por mecanismos automatizados de actualización de software en su Informe Freeman, que documentaba los peligros de una actualización de software clandestina para una herramienta legítima de análisis de código.

Forcepoint recomienda que las organizaciones examinen a terceros que entregan actualizaciones de software a su entorno y que busquen entender qué software no soportado o abandonado (abandonware) aún puede estar ejecutándose y aceptando actualizaciones.

Técnicas de propagación múltiple

Sin embargo, se han recopilado múltiples muestras de archivos adjuntos PDF y Word, lo que pone de manifiesto la probabilidad de que el malware utilice múltiples técnicas de propagación y la importancia de que las organizaciones aseguren que disponen de sistemas para detectar los archivos adjuntos malintencionados.

4. Un plan de respaldo y recuperación apropiado y probado para sistemas y datos críticos contribuirá en gran medida a mitigar los efectos del ransomware y otros ataques de malware, independientemente de sus características particulares.

5. El malware está abusando de las herramientas de seguridad para descubrir nombres de usuario y contraseñas, lo que significa que las organizaciones deben asegurarse de tener sistemas y procedimientos adecuados para prevenir el abuso de credenciales.

ExPetr utiliza la herramienta Mimikatz disponible públicamente para obtener credenciales de todos los usuarios de Windows en texto plano, incluidos los administradores locales y los usuarios de dominio, para difundirse en redes locales.

Este artículo se actualizó por última vez en junio 2017

Profundice más

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close