santiago silver - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Un nuevo ataque de ransomware bloquea computadoras y roba datos

A las víctimas del último ataque de ransomware global se les instó a no pagar, mientras algunos investigadores afirman haber encontrado una vacuna o kill switch local.

Un ransomware que parece estar relacionado con la familia Petya y utiliza el mismo exploit EternalBlue que WannaCry ha golpeado a las organizaciones en los EE.UU., después de ataques en Ucrania, Rusia y en toda Europa.

El nuevo ransomware, llamado ExPetr por Kaspersky Lab, ha sido vinculado a Petya, porque, al igual que esa familia de ransomware, también intenta cifrar el registro de arranque maestro (MBR) del disco duro, bloqueando a las víctimas el acceso a su computadora, no solo a sus archivos.

Los investigadores de seguridad también han destacado que, para su propagación, ExPetr no está confiando solo en el exploit EternalBlue, que se dirige a una vulnerabilidad conocida en el protocolo de bloque de mensajes de servidor en Microsoft Windows. ExPetr también se está difundiendo utilizando el exploit EternalRomance, que apunta a sistemas Windows XP a 2008 a través del puerto TCP 445, y a través del abuso de las herramientas de línea de comandos legítimas PsExec y WMIC (Windows Management Instrumentation Command Line).

El ransomware también utiliza la herramienta Mimikatz, disponible públicamente, para obtener credenciales de todos los usuarios de Windows en texto sin formato, incluidos los administradores locales y los usuarios de dominio.

Esto significa que las computadoras pueden ser aún vulnerables incluso si se han aplicado los parches emitidos por Microsoft para los exploits EternalBlue y EternalRomance, que se cree han sido desarrolladas por la NSA, y posteriormente robadas y filtradas por el grupo de hackers ShadowBrokers.

Sin embargo, la aplicación inmediata de los parches de Microsoft todavía se aconseja para cualquier máquina sin revisión.

A la luz del hecho de que la cuenta de correo electrónico de los atacantes para aceptar pagos de rescate se ha cerrado, se aconseja a las víctimas no pagar el rescate de 300 dólares, ya que es poco probable que reciban una clave para descifrar los archivos afectados.

Los investigadores de seguridad que supervisan la cartera bitcoin asociada con el ransomware informaron que unas horas después de que el ataque comenzó, la cartera comenzó a recibir fondos, lo que indica que algunas víctimas estaban dispuestas a pagar casi de inmediato. Sin embargo, se cree que solo unas 26 víctimas han pagado el primer día.

Para evitar que el ransomware se propague en la red, la firma de seguridad Positive Technologies recomienda desactivar los equipos que no han sido infectados, desconectar los hosts infectados de la red, y hacer imágenes de sistemas comprometidos.

Este enfoque podría ser útil para restaurar los datos, dijo la firma, si los investigadores encuentran una manera de descifrar los archivos. Además, estas imágenes se pueden utilizar para analizar el ransomware.

Los investigadores en la firma también dicen haber encontrado un interruptor de muerte (kill switch) para inhabilitar el ransomware localmente, y han proporcionado los detalles en una entrada del blog.

Los investigadores encontraron que el ransomware comprueba si el archivo perfc está presente en la carpeta C:\Windows\ antes de ejecutarse. Sugieren que crear un archivo con el nombre correcto en esta carpeta puede impedir la sustitución del MBR y un cifrado adicional. Del mismo modo, otros investigadores han sugerido que bloquear C:\Windows\perfc.dat para que no pueda escribirse o ejecutarse podría detener el ransomware.

Recomendación anti-ransomware para empresas

  • Utilice la función Windows AppLocker para desactivar la ejecución de los archivos que llevan el nombre "perfc.dat", así como la utilidad PSExec de Sysinternals Suite.
  • Aísle los puntos finales infectados tan pronto como sea posible.
  • Utilice los indicadores de compromiso para actualizar los sistemas de seguridad.
  • Desarrolle un sistema de cursos de capacitación regulares para que los empleados aumenten su conocimiento de los problemas de seguridad de la información demostrando ejemplos prácticos de ataques potenciales a la infraestructura de la compañía.
  • Instale software antimalware con autoprotección que requiera una contraseña especial para deshabilitar o cambiar su configuración.
  • Asegure actualizaciones regulares de software y sistemas operativos en todos los hosts de la infraestructura corporativa, así como un proceso eficaz de administración de vulnerabilidades y actualizaciones.
  • Lleve a cabo auditorías regulares de seguridad de la información y pruebas de penetración para permitir la detección oportuna de las deficiencias existentes en la protección y las vulnerabilidades.
  • Supervise el perímetro de la red corporativa para controlar las interfaces de servicio de red accesibles desde internet, y corregir la configuración de firewalls de manera oportuna.
  • Supervise la red interna para detectar y eliminar un ataque que ya ha ocurrido.

Para aplicar este interruptor de muerte local o vacuna, los administradores necesitan localizar la carpeta C:\Windows\ y crear un archivo llamado perfc, sin nombre de extensión.

Según Kaspesky Lab, alrededor de 2.000 máquinas habían sido golpeadas por el ransomware al final del primer día de ataques, lo que parece indicar que ExPetr se está propagando mucho más lentamente que WannaCry.

El análisis de código mostró que el nuevo ransomware no intenta propagarse más allá de la red en la que se encuentra, lo que lleva a varios expertos a predecir que el ataque no se extenderá significativamente más allá del primer día, a menos que se modifique, según la BBC.

Amichai Shulman, cofundador y director de tecnología de la empresa de seguridad Imperva, dijo que, al igual que WannaCry, este último ataque muestra que la rápida replicación de ransomware no es un modelo financiero viable.

"Estos datos apoyan el argumento de que este malware está dirigido por un estado-nación y solo tiene como objetivo interrumpir las operaciones, en lugar de monetizar el rescate", dijo.

Las víctimas conocidas del ransomware incluyen el banco central de Ucrania, el abastecedor de electricidad Ukrenego de Ucrania, la central nuclear de Chernobyl, los servicios del aeropuerto y del metro en Ucrania, la firma publicitaria británica WPP, la compañía farmacéutica Merck, la firma legal multinacional DLA Piper, la empresa de embarques danesa AP Moller-Maersk, la compañía petrolera rusa Rosneft, el operador hospitalario de Pennsylvania Heritage Valley Health System, la compañía naviera TNT basada en Holanda, y la compañía francesa de materiales de construcción Saint-Gobain.

Próximos pasos

Más sobre ransomware:

El ransomware será personal

Descifrador del ransomware WannaCry trae esperanza a las víctimas

Microsoft culpa a NSA por ciberarma en el caso del ransomware WannaCry

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close