¿Se está propagando el ransomware Petya? ¿Cómo protege los recursos de TI contra tales ataques?

Esto es lo que debe hacer si el Petya Ransomware lo golpea de acuerdo con el líder mundial en seguridad automatizada de incidentes, respuesta a infracciones y orquestación – DFLabs – Incidentes cibernéticos bajo control

“Si bien muchas instituciones y empresas de diversas industrias todavía se estaban recuperando del ataque de WannaCry que arrasó con el mundo en mayo, los ciberdelincuentes lanzaron otro ataque de ransomware paralizante a principios de esta semana, sorprendiendo a muchos profesionales de ciberseguridad en 60 países. operaciones comerciales esenciales paralizadas.

Este último ataque de alto perfil, llamado Petya, tiene muchas de las características de WannaCry, en el sentido de que es un esquema típico de ransomware, que paraliza las computadoras y se propaga a través de las redes internas después de infectar una máquina. Otra similitud importante es que, al igual que WannaCry, Petya explotó la misma vulnerabilidad de Microsoft Windows: Eternal Blue
, para difundirse dentro de las redes. Por otro lado, hay una diferencia significativa entre los dos ataques: Petya, a diferencia de WannaCry, no estaba destinada a extorsionar dinero , sino a incurrir en daños graves en las redes de computadoras, y los investigadores dicen que Petya simplemente se disfrazó de ransomware, pero su principal El objetivo era propagarse por las redes lo más rápido posible y causar los mayores daños de infraestructura posibles.

Que contiene el daño

Petya fue diseñado principalmente para infectar computadoras con el fin de evitar que las organizaciones continúen sus operaciones diarias, en lugar de obtener beneficios financieros, y el ataque afectó las operaciones comerciales de muchas compañías, infligiéndoles graves daños financieros y de reputación. Los ataques de ransomware son extremadamente difíciles de prevenir, y lo mejor que pueden hacer las organizaciones para evitar serias consecuencias a largo plazo en caso de ser golpeados por uno es asegurarse de que tienen las herramientas para responder y contener el daño lo más rápido posible .

Esto se puede hacer mejor con la ayuda de una plataforma de respuesta a incidentes con capacidades de automatización y orquestación . Este tipo de plataformas pueden ayudar a los equipos de seguridad a reducir su tiempo de reacción cuando responden a un incidente, lo cual es crucial cuando ocurren ataques como Petya. Con un conjunto de acciones de libro de jugadas específicas para los ataques de ransomware, una plataforma de respuesta a incidentes permitirá a su equipo detectar y analizar el ataque más rápido, y le sugerirá una lista específica de acciones que pueden ayudar a contener el daño de la manera más efectiva posible. Cuando se trata de ataques de ransomware, las acciones de contención recomendadas incluyen aislar máquinas comprometidas, bloquear la comunicación a través de puertos y desconectar unidades compartidas , entre otras cosas.

Reacciones posteriores al incidente

Una vez que haya realizado las acciones de contención sugeridas, la plataforma lo ayudará a acelerar los procesos de recuperación y remediación , y a realizar el procedimiento adecuado posterior al incidente. Las reacciones posteriores al incidente son particularmente importantes cuando se trata de ataques de ransomware, ya que juegan un papel importante para garantizar el cumplimiento de las normas de notificación de incumplimiento que cubren este tipo de incidentes de ciberseguridad, como la Regla de notificación de incumplimiento de HIPAA en los EE. UU.

Para concluir, aunque prevenir ataques de ransomware es un desafío importante y no hay mucho que las organizaciones puedan hacer a ese respecto, hay muchas cosas que pueden hacer para reducir el impacto de tales incidentes y evitar consecuencias duraderas, que son generalmente asociado con este tipo de eventos de ciberseguridad “.

Un nuevo virus Ransomware Petya similar a WannaCry que bloquea computadoras y exige el pago de un rescate de $ 300 en Bitcoins para recuperar el control.
Los operadores de GoldenEye / Petya ya han recibido 13 pagos en casi dos horas. Eso es un valor de $ 3.5K USD en moneda digital.
El ataque ocurrió alrededor de las 2 de la tarde. La forma en que se está propagando a través de las redes locales es similar al virus WannaCry “.
El viceprimer ministro ucraniano, Pavlo Rozenko, tuiteó el martes una foto de una pantalla de computadora advirtiendo en inglés que “uno de sus discos contiene errores”, y luego agregó todas las letras mayúsculas: “¡NO APAGUE SU PC! ¡SI ABORTAS ESTE PROCESO, PODRÍAS DESTRUIR TODOS TUS DATOS! ”
El mensaje de ransomware está escrito en inglés y afirma que está reparando su sistema de archivos.
Las redes informáticas del gobierno ucraniano, la Administración de la Ciudad de Kiev y docenas de los principales bancos y compañías estatales y privadas experimentaron ataques similares, y algunos han tenido que suspender sus operaciones.
El distribuidor estatal ucraniano de energía Ukrenergo dijo que su sistema informático había sido afectado por un ciberataque, pero que la interrupción no tuvo impacto en los suministros de energía ni en sus operaciones.
Anteriormente, WPP tuiteó que “los sistemas de TI en varias compañías de WPP se han visto afectados por un supuesto ciberataque. Estamos tomando las medidas apropiadas y actualizaremos lo antes posible “.
Robert Edwards, abogado y especialista en delitos cibernéticos en St John’s Buildings, dijo: “Con la gravedad de este ataque y el grado en que el virus ya se ha extendido a escala internacional en los principales negocios e infraestructura, ahora es casi imposible detenerlo”. extendiéndose aún más “. Anteriormente, hubo algunas especulaciones de que, como WannaCry, este ataque se está extendiendo utilizando el exploit EternalBlue. Pero Bitdefender Labs confirma que el ransomware GoldenEye / Petya aprovecha el exploit EternalBlue para propagarse de una computadora a otra.

“Estamos investigando la actividad del ransomware que, según los informes, ha afectado a las organizaciones en Ucrania y en otros lugares”, dijo John Miller, un experto en seguridad de FireEye.

En el último ataque de WannaCry, el ransomware bloqueó los archivos en la computadora infectada y exigió a los usuarios que pagaran en Bitcoin. El mundo todavía se está recuperando de los estragos mundiales creados por el ransomware, llamado WannaCry o WannaCrypt, creado originalmente por la Agencia de Seguridad Nacional de EE. UU. Y recientemente filtrado a la web. Se registraron casi 75,000 ataques en 99 países, incluyendo India, Rusia, Ucrania y Taiwán.

Esta amenaza presenta los siguientes síntomas:

El método de propagación parece ser a través del Protocolo de escritorio remoto (RDP) y / o los protocolos del Bloque de mensajes del servidor (SMB).

El ransomware puede mostrar el siguiente mensaje en una PC infectada:

Reparación del sistema de archivos en C:

El tipo de sistema de archivos es NTFS.

Uno de sus discos contiene errores y necesita ser reparado. Este proceso puede tardar varias horas en completarse. Se recomienda dejar que se complete.

ADVERTENCIA: ¡NO APAGUE SU PC! ¡SI ABORTAS ESTE PROCESO, PODRÍAS DESTRUIR TODOS TUS DATOS! ¡ASEGÚRESE DE QUE SU CABLE DE ENERGÍA ESTÉ ENCHUFADO!

CHKDSK está reparando el sector xxxxx de xxxxxxxx (x%)

Después del cifrado, los sistemas afectados pueden solicitar al usuario que reinicie. Después de reiniciar, se muestra una pantalla de rescate similar a la anterior.

Entonces, ¿cómo te proteges?

• Evite abrir archivos adjuntos en correos electrónicos de fuentes no confiables. Si su empresa lo permite, implemente reglas para bloquear archivos adjuntos con extensiones ejecutables comunes.
• Evite abrir enlaces en ventanas de correo electrónico y chat de fuentes no confiables, y vuelva a verificar si se envían por una conexión confiable. A veces, una máquina infectada puede enviar enlaces a todos los contactos encontrados en la aplicación de correo electrónico / chat, que aparecería en el destino como si viniera de un contacto confiable.
• Mantenga todo su software actualizado, incluido su sistema operativo, paquete de Office, navegador y cualquier
complementos que pueda estar utilizando. Desactive los complementos innecesarios para evitar la superficie de ataque adicional.
• Mantenga su antivirus actualizado para ayudar a evitar otras infecciones que pueden llevar el ransomware a su
máquina.

También le puede interesar: Lo que hemos aprendido del reciente ataque global de ransomware “WannaCry”.

¡Hola! En mi opinión, es extremadamente importante hacer una copia de seguridad de todos los datos confidenciales y mantener los archivos más valiosos almacenados en algunos dispositivos de almacenamiento de datos extraíbles (unidad USB, discos DVD, etc.). Aún así, hay algunos programas que pueden ayudarlo a proteger su computadora de la invasión de ransomware. Uno de ellos es HitmanPro. CryptoGuard de Alert , esta versión del antivirus HitmanPro está dirigida a ransomwares tan horribles como Petya . Puede obtener más información al respecto en esta página.

Debe mantenerse nítido, ya que los troyanos de cifrado pueden estar contenidos en una imagen, PDF, archivo de texto, archivo MP3. Hay muchas formas de infectar su PC con el ransomware Petya . Por ejemplo, puede infectar su computadora en varias fuentes de software no oficiales, sitios web de crack de software, sitios con alojamiento gratuito de archivos, sitios web con software gratuito y torrents. Petya Ransomware puede infiltrarse en su computadora a través de archivos adjuntos de correo electrónico infectados (tenga cuidado, ya que los ciberdelincuentes generalmente enmascaran sus correos electrónicos maliciosos de spam con archivos adjuntos en el correo electrónico de Ebay o en cualquier otro sitio web de confianza) y falsos actualizadores de software. Es por eso que se recomienda encarecidamente no abrir archivos adjuntos sospechosos de correos electrónicos no deseados y sitios web. Establezca una regla para no descargar ningún software de sitios web sospechosos con una gran cantidad de anuncios. Esta es la razón principal para mantener cualquier aplicación profesional de antivirus / antispyware en su computadora , para que pueda evitar consecuencias tan desastrosas.

Symantec informó que el ransomware es una variante de Petya, un ransomware previamente conocido. Los hallazgos iniciales de Kaspersky Lab sugieren que los ataques provienen de un nuevo ransomware que se llama “ExPetr”.

De cualquier manera, los investigadores dijeron que los ataques del martes usan una falla de Windows llamada EternalBlue para propagarse a través de las redes corporativas. WannaCry también aprovechó el exploit EternalBlue, que se filtró como parte de un tesoro de herramientas de piratería que se cree que pertenecen a la NSA. Microsoft emitió parches para las hazañas en marzo.

Microsoft dijo que descubrió que el ransomware está utilizando múltiples técnicas para propagarse, incluida una que fue abordada por el parche de seguridad lanzado en marzo. Continúa investigando.

Tanto Symantec como F-Secure dicen que aunque Petya encripta los sistemas, es ligeramente diferente a otros tipos de ransomware. “Petya es un nuevo ransomware con un giro maligno: en lugar de encriptar archivos en el disco, bloqueará todo el disco, dejándolo prácticamente inútil”, dice F-Secure. “Específicamente, cifrará la tabla de archivos maestros (MFT) del sistema de archivos, lo que significa que el sistema operativo no puede localizar registros”.

Para protegerse y proteger al sistema de tales ataques

1. Instalar un programa de protección

2. Descargue el parche de Microsoft

3. Actualice su sistema operativo, navegador. etc.

4. Evite hacer clic en correos electrónicos o enlaces maliciosos

Cómo proteger su computadora con Windows del ataque del ransomware Petya

Recomendaciones para el ataque de Ransomware Petya

• Implemente los últimos parches de Microsoft, incluido MS17-010 que parchea la vulnerabilidad de SMB
• Eduque a los usuarios finales a permanecer atentos al abrir archivos adjuntos o al hacer clic en enlaces de remitentes que no conocen
• Opere un modelo de acceso menos privilegiado con los empleados. Restringir quién tiene acceso a la administración local
• Considere deshabilitar SMBv1 para evitar la propagación de malware
• Asegúrese de que las actualizaciones automáticas estén activadas y se apliquen los últimos parches de seguridad
• Asegúrese de tener las últimas actualizaciones instaladas para su software antivirus, los proveedores están lanzando actualizaciones para cubrir esta vulnerabilidad a medida que se analizan las muestras.
• Eliminar software no deseado y complementos del navegador.

Acciones sugeridas para el ataque de Ransomware Petya

1. Administración de parches Asegúrese de que todas las estaciones de trabajo y servidores tengan los últimos parches de Microsoft, especialmente los relacionados con SMB (Microsoft)
2. Actualización antivirus de firmas AV en todos los activos. Personalmente, revise esta acción en los activos críticos y apunte a ellos primero. Obtenga los detalles con respecto al nombre del malware y verifique si este malware se ha detectado en los registros durante la última semana.
3. Soluciones Anti – APT Asegure que las firmas estén actualizadas. Verifique posibles fuentes internas de infección y tome medidas. Use sandboxing en archivos adjuntos. Use detecciones basadas en el comportamiento.
4. Email Gateway Asegúrese de que las soluciones de Email Gateway tengan todas las actualizaciones relevantes para detectar posibles correos electrónicos que puedan traer el troyano al medio ambiente.Eduque a todos los usuarios de correo electrónico para que revisen la dirección de correo electrónico receptora cuidadosamente y no abran ningún archivo ejecutable y secuencias de comandos dentro de archivos aparentemente confiables. el servicio de correo electrónico no está alojado en puertas de enlace públicas conocidas como Gmail u Office365, asegúrese de que los correos electrónicos se escaneen con una solución actualizada de escaneo de correo electrónico con motores de escaneo conocidos. (soluciones AV basadas en punto final o alojamiento de un servidor de descarga)
5. Proxy Asegúrese de que la solución Proxy tenga una base de datos actualizada. Bloquee los IOC para la dirección IP y los nombres de dominio en el Proxy. Bloquee el acceso al servicio de correo electrónico público desde donde es más probable que los malwares se propaguen a través del proxy. Verifique los registros de IOC en Proxy de la semana pasada y actúe sobre las fuentes de infección
6. IPS Asegúrese de que las firmas IPS estén actualizadas. Verifique si la firma que puede detectar este intento de vulnerabilidad / explotación está habilitada y está en modo de bloqueo. Obtenga los detalles con respecto al nombre de la Firma y verifique si esta Firma se ha detectado en los registros durante la última semana.
7. SIEM Verifique los registros para verificar si alguno de los IOC se ha detectado en los registros de 1 semana.

Según Sophos, esto es lo que le instamos a hacer ahora:

• Asegúrese de que los sistemas tengan los últimos parches, incluido el del boletín MS17-010 de Microsoft.
• Considere bloquear la herramienta Microsoft PsExec para que no se ejecute en las computadoras de los usuarios. Se utiliza una versión de esta herramienta como parte de otra técnica utilizada por Petya para propagarse automáticamente. Puede bloquearlo con un producto como Sophos Endpoint Protection.
• Realice copias de seguridad regularmente y mantenga una copia de seguridad reciente fuera del sitio. Hay docenas de formas distintas al ransomware de que los archivos pueden desaparecer repentinamente, como incendio, inundación, robo, una computadora portátil caída o incluso una eliminación accidental. Cifre su copia de seguridad y no tendrá que preocuparse de que el dispositivo de copia de seguridad caiga en las manos equivocadas.
• Evite abrir archivos adjuntos en correos electrónicos de destinatarios que no conoce, incluso si trabaja en RRHH o cuentas y usa mucho los archivos adjuntos en su trabajo.
• Descargue la versión de prueba gratuita de Sophos Intercept X y, para usuarios domésticos (no comerciales), regístrese en la versión gratuita de Sophos Home Premium Beta, que evita el ransomware al bloquear el cifrado no autorizado de archivos y sectores en su disco duro.

Para evitar ataques cibernéticos que se cuelan por correo electrónico, consulte:

• Para defenderse contra el ransomware en general, consulte nuestro artículo Cómo mantenerse protegido contra el ransomware
• Para comprender mejor el phishing, lea nuestro artículo explicativo
• Para protegerse contra los archivos adjuntos de JavaScript, dígale al Explorador que abra archivos .JS con el Bloc de notas
• Para protegerse contra nombres de archivo engañosos, dígale a Explorer que muestre las extensiones de archivo
• Para obtener más información sobre el ransomware, escuche nuestro podcast de Techknow
• Para proteger a sus amigos y familiares contra el ransomware, pruebe nuestro Sophos Home gratuito para Windows y Mac

El ransomware se está extendiendo y afecta a personas que no toman precauciones simples.

Una de las soluciones más fáciles y funcionales es usar pCloud y su opción de rebobinado. PCloud Rewind es como la máquina del tiempo para su vida digital en pCloud. Puede usarlo para viajar hasta 180 días en el pasado y recordar fotos, videos, documentos y contenido compartido que fue eliminado o infectado con Ransomware en un momento dado. Establezca una fecha y hora y explore todos los cambios realizados en ese momento, con la opción de restaurar o descargar cualquier versión anterior de sus archivos con un clic. A diferencia de otros servicios de almacenamiento en la nube “mapeados” como Google Drive y Dropbox, incluso si su Los archivos de pCloud se infectan con Ransomware, puede recuperarlos fácilmente y evitar el desastre de perder datos importantes para siempre.

[ACTUALIZACIÓN] Cómo evitar que Ransomware robe tus archivos – El Blog de pCloud