Wendi Whitmore , Global Partner & Lead, IBM X-Force Incident Response & Intelligence Services (IRIS) y Steve Stone, Global Lead-Intelligence Services, X-Force IRIS:
“Cuando la variante Petya del 27 de junio de 2017 golpeó a organizaciones de todo el mundo, muchos vieron esto como la segunda parte de WannaCry. Sin embargo, este ataque de malware fue diferente del ataque generalizado de ransomware visto en mayo de 2017. A diferencia de WannaCry, incluso algunos sistemas parcheados fueron víctimas de esta variante destructiva del malware Petya.
Después de mucho análisis de esta variante específica de Petya, los analistas de seguridad han formulado siete pasos para ayudar a las organizaciones a reducir su probabilidad de ser víctimas de este y otros ataques similares en el futuro.
- ¿Cuál es el mejor antivirus gratuito para Windows 8.1?
- ¿Qué certificación es buena para los principiantes en seguridad de la información, CHFI, CEH o ECSA?
- ¿Es probable que los hackers rusos responsables del robo de 1.200 millones de contraseñas en agosto de 2014 sean procesados o llevados ante los tribunales?
- ¿Hay alguna manera de desactivar el micrófono en una computadora tan fácilmente como cubrir una cámara web?
- ¿Qué tipo de métodos pueden dificultar que un pirata informático viole los datos de las empresas?
Mantenga los sistemas parcheados y actualizados. Siempre aplique los últimos parches de software y asegúrese de que las firmas antivirus estén actualizadas. En relación con esta variante de Petya, el parche Microsoft MS 17-010 habría detenido en gran medida la capacidad del malware para propagarse utilizando las vulnerabilidades Eternal Blue y Eternal Romance. Aunque los sistemas parcheados todavía pueden verse afectados por esta variante específica de Petya, el parcheo regular reduce significativamente la superficie de ataque y dificulta la entrada del atacante.
Bloquear puertos específicos. Bloquee los puertos SMB (particularmente los puertos 139 y 445) de hosts externos para reducir la superficie de ataque. También bloquee los puertos UDP 135, 137, 138 para evitar el movimiento lateral dentro de la red.
Deshabilite PsExec y WMIC. PsExec y WMIC son herramientas administrativas legítimas, pero los atacantes los usan comúnmente en una variedad de ataques. En el caso de esta variante de Petya, deshabilitar estas herramientas puede ayudar a prevenir la propagación de este malware en todo el entorno.
Los datos de copia de seguridad. Realice copias de seguridad de datos críticos de manera regular y asegúrese de que esas copias de seguridad estén disponibles sin conexión. Asegúrese de que sus copias de seguridad no siempre se mantengan en la red; dejarlos conectados puede exponerlos a cifrado y destrucción.
Separe las tareas y aísle los datos críticos. Separe las tareas entre las cuentas administrativas y de usuario, y asegúrese de que ninguna cuenta (incluido el Administrador de dominio) pueda ejecutar comandos en todos los sistemas de la red. Además, identifique sus datos críticos, y aíslelos y segméntelos del resto de la red.
Siguiendo estos pasos, las organizaciones pueden reducir drásticamente su superficie de ataque y limitar su exposición a este y otros tipos de ataques similares “.
Cualquier información que proporcione IBM no es asesoramiento legal.