Wendi Whitmore , Global Partner & Lead, IBM X-Force Incident Response & Intelligence Services (IRIS) y Steve Stone, Global Lead-Intelligence Services, X-Force IRIS:
“El 27 de junio de 2017, organizaciones en más de 65 países informaron que habían sido infectadas con el ransomware Petya. El ransomware Petya se descubrió por primera vez en marzo de 2016 y, como la mayoría de los programas maliciosos, se propagó principalmente mediante ataques de phishing por correo electrónico. Después de que un usuario fue infectado, el ransomware cifraría los archivos de datos en los sistemas y los mantendría como rehenes a cambio de un pago de rescate. Una vez que se pagó el rescate, los atacantes normalmente (pero no siempre) proporcionarían la clave de descifrado para que los usuarios pudieran restaurar sus archivos. Este ransomware todavía está en estado salvaje, y los usuarios aún pueden ser víctimas.
Notablemente, sin embargo, el ransomware Petya inicial es muy diferente de la variante Petya que se lanzó en junio de 2017. Esta nueva variante Petya no es realmente ransomware. En cambio, es malware limpiador disfrazado de ransomware. El malware del limpiador no retiene datos como rehenes a cambio de un rescate; Su único propósito es destruir datos y sistemas corruptos. No ha habido nuevos informes de esta variante Petya después del 27 de junio de 2017, pero este y otros tipos similares de malware pueden (y probablemente) se propagarán en algún momento en el futuro.
- ¿Cuál es la diferencia entre antivirus y seguridad total?
- ¿Cómo se usan las estadísticas, el aprendizaje automático y la ciencia de datos en ciberseguridad?
- Cómo eliminar virus de mi sitio de wordpress
- ¿Por qué muchos sitios solo permiten contraseñas de entre 6 y 30 caracteres? ¿Por qué no más?
- ¿Cuáles son algunos buenos ejemplos de piratería informática?
Si bien no puede predecir el próximo ataque, puede tomar medidas ahora para proteger sus recursos de TI de futuros ataques similares. Algunos de esos pasos incluyen:
Entrenar a los usuarios para que sospechen. No abra archivos adjuntos de correo electrónico ni haga clic en hipervínculos en correos electrónicos que no está esperando. Si no conoce al remitente, elimine el correo electrónico de inmediato. Si conoce al remitente pero el mensaje es inesperado o sospechoso, verifique por llamada o mensaje de texto que el correo electrónico es legítimo. Si no es legítimo, elimínelo de inmediato.
Mantenga los sistemas parcheados y actualizados. Siempre aplique los últimos parches de software y asegúrese de que las firmas antivirus estén actualizadas. En relación con esta variante de Petya, el parche Microsoft MS 17-010 habría detenido en gran medida la capacidad del malware para propagarse utilizando las vulnerabilidades Eternal Blue y Eternal Romance. Los parches regulares reducen significativamente la superficie de ataque y hacen que sea más difícil para el atacante entrar.
Bloquear puertos específicos. Bloquee los puertos SMB (particularmente los puertos 139 y 445) de hosts externos para reducir la superficie de ataque. También bloquee los puertos UDP 135, 137, 138 para evitar el movimiento lateral dentro de la red.
Deshabilite PsExec y WMIC. PsExec y WMIC son herramientas administrativas legítimas, pero los atacantes los utilizan comúnmente en una variedad de tipos de ataque. En el caso de esta variante de Petya, deshabilitar estas herramientas puede ayudar a prevenir la propagación de este malware en todo el entorno.
Los datos de copia de seguridad. Realice copias de seguridad de datos críticos de manera regular y asegúrese de que esas copias de seguridad estén disponibles sin conexión. Asegúrese de que sus copias de seguridad no siempre se mantengan en la red; dejarlos conectados puede exponerlos a cifrado y destrucción.
Separe las tareas y aísle los datos críticos. Separe las tareas entre las cuentas administrativas y de usuario, y asegúrese de que ninguna cuenta (incluido el Administrador de dominio) pueda ejecutar comandos en todos los sistemas de la red. Además, identifique sus datos críticos, y aíslelos y segméntelos del resto de la red “.
Cualquier información que proporcione IBM no es asesoramiento legal.