¿Quién lanzó el ransomware Petya y cómo?

Después de que Petya golpeó al fabricante de medicamentos Merck, con sede en Nueva Jersey, las comunicaciones internas de la compañía instruyeron a los empleados a desconectar todos los dispositivos móviles de la red y abstenerse de publicar en las redes sociales.

Microsoft advirtió dos veces sobre las actualizaciones críticas necesarias para parchear los sistemas contra ETERNALBLUE, la tecnología central desarrollada por la comunidad de inteligencia estadounidense y que ahora está siendo explotada por un grupo de hackers desconocidos conocidos como ShadowBrokers. Merck, al no cumplir e instalar las actualizaciones, dejó su sistema abierto y vulnerable.

Incluso después del ataque global en mayo de 2017 cuando Microsoft emitió una tercera advertencia y otro parche más, Merck aún descuidó la seguridad del sistema.

Merck se abstuvo de comentar pero emitió una declaración que decía:

“Hemos avanzado mucho en nuestra respuesta al ciberataque global del 27 de junio. Hemos implementado planes de continuidad comercial y continuamos enviando pedidos y satisfaciendo las necesidades de los pacientes.

Nosotros y nuestros socios externos no vemos indicios de que los datos de la compañía hayan sido comprometidos ”. ( Endpoints News )

¿Cómo funciona el malware Petya?

Según Symantec , el punto de inserción de Petya en un sistema es a través de MEDoc, un sistema de software de impuestos y contabilidad utilizado principalmente en Ucrania.

Una vez que Petya obtiene acceso a un sistema, se propaga de varias maneras para infectar sistemas corporativos, de manera rápida y despiadada.

Petya es un gusano.

Es decir, Petya es un programa autorreplicante que se infiltra con la intención de difundir código malicioso. Las redes son secuestradas para enviar copias del código original del gusano a otras computadoras que causan daño al consumir ancho de banda o, en el caso de Petya, eliminar archivos. Los gusanos también pueden instalar puertas traseras.

Petya crea una lista de direcciones IP de destino tanto en el servidor local como en las IP remotas.

( Para obtener una lista completa de todas las direcciones IP y servidores incluidos …)

Luego crea una lista de nombres de usuario y contraseñas, almacena las credenciales del Administrador de Windows y se extiende hacia afuera.

Petya se propaga por recursos compartidos de red o explotando el protocolo de transporte de Windows (SMB) , específicamente ETERNALBLUE.

Petya destruye archivos.

Una vez ejecutado, Petya intenta eliminarse del sistema original infectado sobrescribiendo el archivo con bytes nulos. Esto se hace para frustrar la detección forense y el rastreo. Finalmente, el archivo se elimina del disco.

Infección y encriptación.

Pero incluso eso no es suficiente para esta desagradable pieza de malware. Petya, después de la instalación, modifica el registro de arranque maestro (MBR). Esto permite que Petya se haga cargo del proceso de reinicio normal y cargue su nota de rescate en la pantalla CHKDSK.

Petya construye un retraso, programando en lugar de forzar un reinicio, y dándose tiempo para extenderse por el sistema sin control.

Los archivos con ciertas extensiones están encriptados y efectivamente bloqueados por el usuario.

.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h . hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox. vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

( Symantec )

Una clave generada aleatoriamente se usa para el cifrado, pero en realidad, no se puede usar para descifrar los archivos mencionados anteriormente, la diferencia que define entre Petya y Ransomware. Petya siempre tuvo la intención de destruir mientras Ransomware permitía la posibilidad de recuperación de datos.

Para obtener más información sobre Petya y cómo funciona, visite aquí.

Cómo sucedió el incidente de Petya Global Malware a Nuance, Merck y otros, y lo que significa para la atención médica. – OneVoiceData

Related Content

¿Qué curso debo tomar, CISA, CISM o CISSP, si quiero hacer ciberseguridad? Donde lo hago

Cómo cambiar una contraseña de root sin conocer la contraseña en Linux

¿Cómo podría usarse un algoritmo eficiente de factorización prima para explotar protocolos de seguridad criptográfica como SSH o RSA?

¿Mi navegador web comparte credenciales o cookies con todos los diferentes sitios que tengo abiertos en mis pestañas?

¿Se puede hackear Google desde su página de inicio o de cualquier otra manera?

Los investigadores creían que el ransomware era una variante de Petya, pero Kaspersky Labs y otros informan que, aunque tiene similitudes, en realidad es #NotPetya. Independientemente de su nombre, esto es lo que debe saber.

Este ataque no solo encripta los datos para obtener un rescate, sino que secuestra las computadoras y las vuelve completamente inaccesibles encriptando su Registro de arranque maestro (MBR).

Inicialmente, se pensó que NotPetya se había establecido en las redes corporativas a través de correos electrónicos con archivos adjuntos de documentos de Word infectados que explotan CVE-2017-0199. (Si ha parcheado Microsoft Office, debería estar protegido de este vector de ataque).

Si bien el phishing es un vector de ataque viable, el vector principal es MeDoc, una firma de software financiero con sede en Ucrania. La función de actualización de software de MeDoc parece haber sido pirateada y los atacantes la usaron para distribuir el ransomware Petya (fuente). Esto explica por qué Ucrania ha sido la más afectada.

Una vez que se infecta una sola máquina, NotPetya se propaga de igual a igual a otros puntos finales y servidores basados ​​en Windows que son vulnerables a MS17-010, la vulnerabilidad SMB que todos recibieron instrucciones de parchear durante WannaCry. También se puede propagar a través de PsExec para administrar $ share, incluso en máquinas parcheadas . Hemos escrito una guía detallada sobre PsExec y cómo deshabilitar PowerShell recientemente. Eso será útil aquí.

¿Qué hacer?

La prevención de NotPetya refleja de cerca los pasos que puede haber tomado anteriormente para WannaCry:

  • Deshabilita SMBv1 mientras parches
  • Bloquee el puerto TCP 445 desde el exterior (o entre segmentos si es posible)
  • ¡Aplique el parche!
Rajeev Mishra

Petya es el último malware identificado, también conocido como ‘GoldenEye’ o ‘Mischa’. Este es un ataque de ransomware ‘mundial’ y se está extendiendo rápidamente.

El ransomware es un tipo de malware que restringe el acceso al sistema infectado de alguna manera hasta que la víctima paga un rescate. El ‘Petya’ Ransomware es un archivo ejecutable (cambia los íconos y se vería como pdf / WinRAR) entregado a través de correo no deseado que encripta los archivos en el disco duro del sistema que no se pueden descifrar fácilmente. Utiliza cifrado AES fuerte para cifrar archivos.

La forma más común en que los usuarios son víctimas de ‘Petya’ es recibir un correo no deseado o phishing con un Dropbox o cualquier URL de almacenamiento de archivos o un archivo ejecutable como archivo adjunto.

Aquí hay algunos consejos para que se asegure de estar protegido del ‘Petya’ Ransomware. Tenga cuidado al abrir cualquier archivo adjunto de correo electrónico que haya recibido de una fuente desconocida, especialmente si le recomienda habilitar macros para ver su contenido. No habilite macros bajo ninguna circunstancia y elimine inmediatamente dichos correos electrónicos sospechosos.

· Nunca haga clic en una URL contenida en un correo electrónico no solicitado, incluso si el enlace parece benigno

· No abra archivos adjuntos de los siguientes tipos de archivos: exe / pdf / winRAR / js / jre / .chrome. ·

Haga una copia de seguridad de todos los datos críticos de manera regular para garantizar que sus datos no se vean afectados incluso después de que su sistema sea atacado por este tipo de amenazas de seguridad

· No instale ninguna aplicación de software no deseada en su computadora

· Asegúrese siempre de que su antivirus esté actualizado

El video para el mismo se puede ver en

Rajeev Mishra

More Interesting

¿Cuáles son los mejores centros de capacitación en ciberseguridad / piratería ética en kerala?

Mi contraseña se guarda en mi navegador pero inicié sesión en un wi-fi no seguro, ¿puedo ser hackeado?

¿Ayudará ceh a conseguir un trabajo en el campo de la seguridad cibernética?

¿Por qué la gente piensa que Perl es propenso a errores de seguridad?

¿De qué maneras se superponen la ciberseguridad y las ciencias de la vida?

¿Qué tan difícil es hacer ddos? ¿Cómo lo haces?

¿Hay un virus Linux?

¿Cuáles son algunas de las mejores prácticas de seguridad / patrones de arquitectura para una intranet que tiene un área pública para acceder a parte de la información? Por ejemplo, una base de datos de la escuela con información confidencial de un niño, con la capacidad de un padre para iniciar sesión y recuperar asistencia, informes, etc.

¿Por qué solo Comodo requiere un reinicio del sistema antes de los análisis de malware?

¿La transición a IPv6 introduce importantes vulnerabilidades de seguridad?

Si solo los binarios apropiados en un servidor estuvieran en la lista blanca y todos los demás fueran negados de tener la capacidad de ejecutarse, ¿qué problemas de seguridad se resolverían?

¿Alguien puede dañar su propia computadora creando un virus?

¿En qué campo de TI debo entrar? ¿Garantía de calidad (automatización), ciberseguridad (cumplimiento) o servicio de asistencia?

Cómo comenzar a trabajar en criptografía, seguridad de red o seguridad de la información

¿Qué deben hacer los usuarios para protegerse del error Heartbleed OpenSSL?