ilolab - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

El ataque de ransomware semejante a Petya puede ser mitigado

Un nuevo ataque de ransomware global se ha estado propagando rápidamente usando los mismos exploits que WannaCry, pero los investigadores ya han encontrado maneras de proteger a los usuarios de los daños.

Una nueva amenaza mundial de ransomware se ha estado extendiendo rápidamente explotando las mismas vulnerabilidades usadas en los ataques del ransomware WannaCry, pero los investigadores han encontrado maneras diferentes de mitigar el daño.

Los investigadores de seguridad han sido inconsistentes en nombrar esta amenaza mundial de ransomware, porque puede ser vista como una variante del ransomware Petya y de GoldenEye, que era en sí mismo una variante de Petya. Esto llevó al uso de una serie de nombres, incluyendo NotPetya, ExPetr, PetrWrap, GoldenEye, Petya.A, Petya.C y PetyaCry.

Sin embargo, Tod Beardsley, director de investigación en Rapid7, dijo que el nombre no debe ser el foco.

"Estamos principalmente interesados ​​en las capacidades y los indicadores de compromiso, y no tanto en cuál es el nombre ‘real’; después de todo, los diferentes proveedores de seguridad terminan llamando a las muestras de malware como esta cosas diferentes, todo el tiempo", dijo Beardsley a SearchSecurity.

El ransomware semejante a Petya se propaga globalmente

Este nuevo ataque global de ransomware fue detectado por primera vez en los sistemas de gobierno de Ucrania, antes de extenderse a una gama de organizaciones de todo el mundo. Una serie de empresas de investigación de seguridad comenzó a analizar los incidentes y encontró múltiples vectores de ataque.

Cisco Talos informó que el punto inicial de entrada a los sistemas gubernamentales en Ucrania fue a través de una actualización de software malicioso para un paquete de contabilidad de impuestos llamado MeDoc.

Kaspersky Lab encontró que el ataque podría propagarse a través de la herramienta de explotación de código remoto EternalRomance, que se encuentra en el volcado de ciberarmas de la NSA.

Sin embargo, el vector de ataque más común, reportado por múltiples grupos de investigación, fue a través de correos electrónicos de phishing con documentos maliciosos de Office adjuntos.

El documento malicioso apuntó a sistemas que no se habían parchado contra la vulnerabilidad de EternalBlue (MS17-010) en el bloque de mensajes de Windows Server (SMB) v1 y contiene la herramienta DoublePulsar de la NSA para ayudar a propagar la infección. Ambos exploits se usaron en los ataques de ransomware de WannaCry.

Marco Ramilli, experto en evasión de malware y director de tecnología de Yoroi, una firma de inteligencia de amenazas con sede en Italia, dijo a SearchSecurity a través de Twitter que el semejante a Petya tenía una opción de respaldo para ayudar a propagar esta infección, en comparación con las variantes anteriores de Petya:

Según el Laboratorio de Virus de Avira, "el troyano recoge las credenciales de inicio de sesión de Windows almacenadas localmente, y las usa mal con la herramienta PsExec. Esta es solo una herramienta normal, generalmente utilizada por los administradores del sistema, para ejecutar otras herramientas en máquinas remotas a las que tienen acceso o inicios de sesión regulares. Este método funciona incluso si el sistema está completamente parchado, ya que PsExec no es una vulnerabilidad, sino una herramienta habitual de Microsoft y SysInternals".

Lysa Myers, investigadora de seguridad de ESET, dijo que al usar la herramienta PsExec, que es una parte confiable de Windows, "significa que solo necesita haber una máquina vulnerable en una red para que pueda entrar; luego se puede propagar a otras máquinas dentro de la red que se han parchado correctamente".

La vinculación de esta amenaza global de ransomware a la variante GoldenEye de Petya es el uso del componente Mischa, que puede cifrar archivos individuales. Pero el principal peligro del similar a Petya es que cifrará el registro de arranque maestro (MBR) de un sistema después de forzar un reinicio.

Potencial mitigación del ransomware semejante a Petya

Matthew Hickey, cofundador y director de la consultoría de seguridad cibernética Hacker House, encontró que una forma de evitar el daño de este ransomware comienza en el proceso de reinicio:

Otra técnica de mitigación contra el ransomware global parecido a Petya provino de Amit Serper, investigador de seguridad en Cyberreason, y Dave Kennedy, fundador de Binary Defense y TrustedSec. Serper y Kennedy encontraron un archivo específico que podría ser bloqueado y desencadenar una especie de "kill-switch".

98% sure that the name is is perfc.dll Create a file in c:\windows called perfc with no extension and #petya #Nopetya won't run! SHARE!! https://t.co/0l14uwb0p9

— Amit Serper (@0xAmit) June 27, 2017

Para obtener más medidas preventivas contra esta amenaza de ransomware global, los expertos sugieren las mismas precauciones que para WannaCry, incluyendo el parche contra la vulnerabilidad de EternalBlue y el bloqueo del puerto 445 en cualquier dispositivo potencialmente vulnerable.

Paul Vixie, CEO de Farsight Security, dijo que hay una estrategia de mitigación que reemplaza a todas los demás cuando se trata de cualquier amenaza de ransomware.

"La única defensa probada contra el ransomware es copias de seguridad de todos los datos importantes", dijo Vixie a SearchSecurity. "Nadie con copias de seguridad ha perdido datos por un ataque de ransomware, por lo que lo más importante, en mi opinión, es hacer una copia de seguridad de sus datos y tener un plan para recuperarse desde esas copias de seguridad".

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close