Red de información TI para profesionales ITMedia NetWork

Búsqueda avanzada

Publicidad

Publicidad

Centro de recursos

Informes

Balance del CCN-CERT sobre el ataque Petya: El sector público y las empresas estratégicas no se han visto afectadas por el ransomware

El código dañino utilizado, una variante del Petya, es más sofisticado que el WannaCry y podría ser un ataque más dirigido

28 Junio 2017por Redacción

El CCN-CERT ha realizado un balance de la campaña de ransomware detectada ayer día 27 de junio de 2017, destacando que la campaña utiliza un posible variante englobada en la familia Petya (también llamado Petya, Petna, PetrWrap, Nyetya y NotPetya). Sus primeros casos se detectaron en empresas ubicadas en Ucrania y afectó posteriormente a algunas multinacionales con sede en España, aunque el CERT no ha detectado ningún organismo público o empresa estratégica española afectada

El código dañino utilizado es más sofisticado que en el caso de WannaCry y, en esta ocasión, podría tratarse de un ataque más dirigido ya que la detección inicial del mismo fue localizada con una rápida expansión posterior.

Además, da la sensación de que el agresor no parece pretender obtener un beneficio económico, sino perjudicar a las víctimas, ya que no ha adoptado las medidas habituales para conseguir el anonimato y la disponibilidad del servicio de cobro propia de otras campañas de cibercrimen.

Como ha informado el investigador Amit Serper (0xAmint), para evitar la infección por una de las variantes conocidas existe la opción de crear en el equipo varios ficheros (con los nombres perfc.dat, perfc.dll y perfc) en la carpeta c:\Windows. De esta manera el binario interpreta que ya tiene la librería infectada y detiene el procedimiento de infección

En este sentido, el proveedor de servicio de Internet ha bloqueado la dirección de correo utilizada para el pago del rescate, por lo que las víctimas no pueden obtener las claves de recuperación al inhabilitar la vía de comunicación con el atacante.

Software objetivo y métodos de infección

Los sistemas operativos objetivo son los sistemas Windows y como hipótesis de vectores de infección se han planteado dos posibilidades (por confirmar): la primera consistiría en un correo electrónico de spear phishing con un fichero adjunto que explotaría la vulnerabilidad de Microsoft (CVE-2017-0199); y la segunda una actualización dañina de un programa comercial destinada al ámbito financiero.

Tras la infección inicial en un equipo, el código dañino intenta obtener privilegios y continúa con un reconocimiento de la red local en busca de otras máquinas para propagarse usando diferentes vías como:

  • La ejecución remota con “psexec” a través de carpetas compartidas
  • La ejecución remota con “wmic”, con extracción de credenciales mediante el uso de parte del código de “mimikatz” en el equipo inicialmente comprometido
  • La explotación de las vulnerabilidades asociadas a ETERNALBLUE (Microsoft MS 17-010), también usado por WannaCry para ejecutar código

En las pruebas realizadas en sistemas Windows 10 con privilegios de administrador, el código dañino es detectado y bloqueado por Windows Defender.

Medidas de prevención

Tal y como ha informado el investigador Amit Serper (0xAmint), para evitar la infección por una de las variantes conocidas existe la opción de crear en el equipo varios ficheros (con los nombres perfc.dat, perfc.dll y perfc) en la carpeta c:\Windows. De esta manera el binario interpreta que ya tiene la librería infectada y detiene el procedimiento de infección. El investigador lo lanzó ayer en un Tweet: https://twitter.com/0xAmit/status/879764284020064256  

Asimismo, el CCN-CERT recomienda:

  • Aplicar los parches de seguridad existentes para MS Office y sistemas Windows
  • Mantener actualizadas las aplicaciones antivirus
  • Extremar las precauciones para evitar acceder a correos o enlaces no legítimos
  • Por otra parte, para evitar una de las vías de propagación, se puede inhabilitar el acceso a las carpetas compartidas con nombre Admin y Admin$ en la red local
  • Igualmente, se puede activar AppLocker para bloquear la ejecución de la herramienta PsExec de la suite de Microsoft Sysinternals
  • Además, se recomienda deshabilitar la ejecución remota de WMI
  • En el caso de la detección temprana de una infección, se recomienda apagar el ordenador lo más rápido posible y, si ya se hubiera iniciado la propagación a otros equipos, aislarlos en redes VLAN sin conectividad con otras redes
  • Realizar copias de seguridad
  • Aplicar las medidas de seguridad dispuestas en el informe del CCN-CERT contra el ransomware, en el que se incluyen pautas y recomendaciones generales y en el que se detallan los pasos del proceso de desinfección y las principales herramientas de recuperación de los archivos, en este tipo de ataques. Más información en http://bit.ly/CCNCERTantiPetya

Asimismo, el CERT recuerda que efectuar el pago por el rescate del equipo no garantiza que los atacantes envíen la utilidad y/o contraseña de descifrado, sólo premia su campaña y les motiva a seguir distribuyendo masivamente este tipo de código dañino. En cualquier caso, en esta campaña se ha inhabilitado el medio de pago proporcionado por el atacante.

“En el caso de que se hayan visto afectados por esta campaña y no dispongan de copias de seguridad, se recomienda conservar los ficheros que hubieran sido cifrados por la muestra de ransomware antes de desinfectar la máquina, ya que no es descartable que en un futuro apareciera una herramienta que permitiera descifrar los documentos que se hubieran visto afectados”, concluye. Más información en www.ccn-cert.cni.es

ShareThis

Publicidad

Newsletter gratuita

Suscribase ahora a nuestra Newsletter gratuita.
Le enviaremos periodicamente información sobre nuevos WhitePapers, Webcasts, casos de éxito e información de novedades de productos y noticias.

Publicidad

Destacamos

  • El Data Fabric, clave para impulsar la digitalización del sector público

    La digitalización de las organizaciones públicas es una cuestión crucial en un mundo cada vez más conectado y avanzado tecnológicamente. Para Julio Campoy, vicepresidente de Appian, una transformación esencial para facilitar y simplificar tanto los procesos internos como para los que se dirigen a los ciudadanos y en la que el Data Fabric cobra singular importancia

Envío de artículos por email de IT CIO.es

Por favor, introduzca la siguiente información











Cerrar

Envío de artículos por email de IT CIO.es

Procesando envíos...

Envío de artículos por email de IT CIO.es

Email enviado. Cerrar

Envío de artículos por email de IT CIO.es

Error en el envio. Pulse aqui para cerrar.Cerrar