www.onemagazine.es
¿Cómo ha afectado el nuevo Petya a las empresas estrategícas de España?
Ampliar

¿Cómo ha afectado el nuevo Petya a las empresas estrategícas de España?

El Sector Público y las empresas estratégicas españolas no se han visto afectadas por la última campaña masiva de ransomware. Así lo ha explicado el Centro Criptológico Nacional en un comunicado en el que también explica cómo protegerse de esta nueva campaña criminal. Eso sí, alerta de que ha sido "más sofisticado que WannaCry" y que "podría ser un ataque más dirigido".

Nuevo ciberataque global: qué tienes que saber de la variante del ransomware Petya

El Centro Criptológico Nacional ha explicado a través de un comunicado que la campaña del ransomware -software que 'secuestra' el dispositivo a cambio de un rescate- detectada ayer no ha afectado a la Administración e infraestructuras críticas. La campaña que ha utilizado un posible variante englobada en la familia Petya -también llamado Petna, PetrWrap, Nyetya y NotPetya- afectó sobre todo a empresas ubicadas en Ucrania y a algunas multinacionales con sede en España -aunque el CERT Gubernamental Nacional no ha detectado ningún organismo del Sector Público o empresa estratégica española afectada-.

El código dañino utilizado es más sofisticado que en el caso de WannaCry y, en esta ocasión, podría tratarse de un ataque más dirigido ya que la detección inicial del mismo fue localizada con una rápida expansión posterior. Además, da la sensación de que el agresor no parece pretender obtener un beneficio económico, sino perjudicar a las víctimas, ya que no ha adoptado las medidas habituales para conseguir el anonimato y la disponibilidad del servicio de cobro propia de otras campañas de cibercrimen. En este sentido, el proveedor de servicio de Internet ha bloqueado la dirección de correo utilizada para el pago del rescate, por lo que las víctimas no pueden obtener las claves de recuperación al inhabilitar la vía de comunicación con el atacante.

¿Cuál es el software que ha sido su objetivo y cómo lo ha infectado?

Los sistemas operativos objetivo de este ciber ataque son los sistemas Windows. En cuanto a la forma de infección se estudian dos hipótesis, aún por confirmar. La primera consistiría en un correo electrónico de spear phishing con un fichero adjunto que explotaría la vulnerabilidad de Microsoft (CVE-2017-0199). La segunda opción podría ser a través una actualización dañina de un programa comercial destinada al ámbito financiero.

Tras la infección inicial en un equipo, el código dañino intenta obtener privilegios y continúa con un reconocimiento de la red local en busca de otras máquinas para propagarse usando diferentes vías como la ejecución remota con “psexec” a través de carpetas compartidas,la ejecución remota con “wmic”, con extracción de credenciales mediante el uso de parte del código de “mimikatz” en el equipo inicialmente comprometido o la explotación de las vulnerabilidades asociadas a ETERNALBLUE (Microsoft MS 17-010), también usado por WannaCry para ejecutar código.

En las pruebas realizadas en sistemas Windows 10 con privilegios de administrador, el código dañino es detectado y bloqueado por Windows Defender. De cualquier forma, para evitar ser afectado tal y como ha informado el investigador Amit Serper -conocido como 0xAmint- existe la opción de crear en el equipo varios ficheros (con los nombres perfc.dat, perfc.dll y perfc) en la carpeta c:\Windows. De esta manera el binario interpreta que ya tiene la librería infectada y detiene el procedimiento de infección, según contó ayer en un tweet.

¿Qué recomienda el CCN para protegerse del ciberataque de Petya?

1.-Aplicar los parches de seguridad existentes para MS Office y sistemas Windows.

2.-Mantener actualizados las aplicaciones Antivirus.

3.-Extremar las precauciones para evitar acceder a correos o enlaces no legítimos.

4.-Por otra parte, para evitar una de las vías de propagación, se puede inhabilitar el acceso a las carpetas compartidas con nombre Admin y Admin$ en la red local.

5.-Igualmente, se puede activar AppLocker para bloquear la ejecución de la herramienta PsExec de la suite de Microsoft Sysinternals.

6.-Además, se recomienda inhabilitar la ejecución remota de WMI.

7.-En el caso de la detección temprana de una infección, se recomienda apagar el ordenador lo más rápido posible y, si ya se hubiera iniciado la propagación a otros equipos, aislarlos en redes VLAN sin conectividad con otras redes.

8.-Realizar copias de seguridad.

9.-Aplicar las medidas de seguridad dispuestas en el informe del CCN-CERT contra el ransomware, en el que se incluyen pautas y recomendaciones generales y en el que se detallan los pasos del proceso de desinfección y las principales herramientas de recuperación de los archivos que facilita el CCN.

¿Compensa pagar el rescate por un ransomware?

En general, el CCN-CERT recuerda que efectuar el pago por el rescate del equipo no garantiza que los atacantes envíen la utilidad y/o contraseña de descifrado, sólo premia su campaña y les motiva a seguir distribuyendo masivamente este tipo de código dañino. En cualquier caso, en esta campaña se ha inhabilitado el medio de pago proporcionado por el atacante. Además, en el caso de que te hayas visto afectados por esta campaña y no dispongan de copias de seguridad, se recomienda conservar los ficheros que hubieran sido cifrados por la muestra de ransomware antes de desinfectar la máquina, ya que no es descartable que en un futuro apareciera una herramienta que permitiera descifrar los documentos que se hubieran visto afectados.

¿Te ha parecido interesante esta noticia?    Si (0)    No(0)


Normas de uso

Esta es la opinión de los internautas, no de Desarrollo Editmaker

No está permitido verter comentarios contrarios a la ley o injuriantes.

La dirección de email solicitada en ningún caso será utilizada con fines comerciales.

Tu dirección de email no será publicada.

Nos reservamos el derecho a eliminar los comentarios que consideremos fuera de tema.