(Especial MARKET VISION Ciberseguridad 2017 - 5).

Ayer, miércoles 28 de junio, se conoció que acababa de producirse un nuevo ataque de ransomware de carácter masivo, esta vez no con el tristemente célebre Wannacry sino con Petya, un malware que ha afectado sobre todo a entidades bancarias y empresas petroleras, entre otras compañías pertenecientes a una gran variedad de sectores. Ucrania, India, España y Reino Unido han sido, según los primeros datos, algunos de los países afectados.
IndentLa firma española de ciberseguridad S21sec, que ya había difundido a los medios un extenso informe relativo a la crisis del Wannacry en mayo, ha vuelto a elaborar un informe de prensa con motivo de este nuevo ataque, que incluimos en esta colección de artículos de MARKET VISION sobre seguridad en sistemas conectados a la red.
Indent«Nos encontramos ante un nuevo ataque masivo de ransomware con un gran impacto en empresas de múltiples países. El escenario actual de la ciberseguridad crece en complejidad, evoluciona y se innova para alcanzar todo tipo de objetivos, en este caso, de sectores altamente sensibles», destaca Agustín Muñoz-Grandes, CEO de S21sec.
IndentHe aquí algunas conclusiones de su análisis:

IndentPetrWrap/Petya.
IndentEl malware Petya es un ransomware que cifra el MFT (Master File Tree) del disco duro de los ordenadores afectados y reemplaza el MBR (Master Boot Record) con un bootlader propio para mostrar la nota de rescate e impedir el arranque del sistema.
IndentEsta evolución del ransomware, además, sigue el comportamiento habitual de los ransomware cifrando los archivos del sistema que concuerden con la lista de extensiones de ficheros que contiene el malware.
IndentAl igual que el resto de ransomwares, Petya presenta un mensaje en pantalla solicitando el pago de un «rescate» para recibir la clave que permitiría la restauración del ordenador y la recuperación de los datos.

IndentDistribución.
IndentAl contrario que WannaCry, la primera etapa de distribución de PetrWrap (el nombre más completo de Petya) se basa en el spam de correos con ficheros de Microsoft Office adjuntos. Una vez descargados, estos y lanzan el ransomware a ejecución. El binario hace uso tanto del exploit Eternalblue (el mismo que utilizó en su momento WannaCry) como de herramientas para conseguir credenciales con las que autenticarse en otras máquinas de la red interna. Si alguno de los dos métodos tiene éxito, el malware consigue propagarse e infectar a otras máquinas que se encuentren en la misma red.

IndentCifrado.
IndentAdemás del comportamiento habitual propio del ransomware de cifrar los archivos del sistema, PertWrap también reemplaza la estructura lógica conocida como la Master Boot Record (MBR), que permite al sistema operativo encontrar los archivos dentro de las particiones de disco, por un estructura propia que le permite mostrar la nota de rescate e impedir el arranque del sistema.

IndentAfectación.
IndentEntre los países afectados se encuentran al menos Rusia, Ucrania, Reino Unido, Irlanda, España, Francia, Dinamarca e India; siendo Ucrania el principal país afectado por este nuevo ataque de ransomware.
IndentComo sectores más afectados:
Indent—Petróleo.
Indent—Distribución de carburante (gasolineras).
Indent—Banca.
Indent—Administración
Indent—Eléctricas.
Indent—Transporte (Navieras).
Indent—Aeronáutica.
Indent—Aeropuertos.
Indent—Ferrocarriles urbanos (Metro).
Indent—Construcción.
Indent—Publicidad.
Indent—Hosting.


IndentMitigación.
IndentAl contrario que en el ataque de WannaCry, no parece existir un «kill-switch» que impida la propagación de este ransomware, lo que confirma la evolución y sofisticación de los nuevos ataques y tipos de malware.
IndentPara impedir la propagación del ransomware se necesita aplicar el parche de seguridad con carácter crítico de Microsoft publicado el 14 de marzo: Security Update for Microsoft Windows SMB Server (4013389). Este parche es el mismo que se propuso en su momento como medida de protección contra WannaCry, por lo que las empresas que ya aplicaron este parche en su momento estarían protegidas contra la propagación automática del malware a través de este exploit.
IndentAunque podrían seguir siendo afectadas si algún empleado llegara a abrir un mail que contuviera un fichero «infectado» y el ransomware consiguiera credenciales válidas con las que autenticarse en otras máquinas.
IndentPara evitar que estos mails entren en el sistema de correo de las empresas y a los ordenadores de las personas se recomienda actualizar los elementos de protección perimetral y los paquetes de antivirus según las indicaciones que están comunicando empresas de seguridad como S21sec o los fabricantes de este tipo de soluciones.


  
© 2017 - MARKET VISION.

 

Especial Seguridad Online