(Especial MARKET VISION Ciberseguridad 2017 - 6).

Ayer publicamos una información al respecto dentro de este bloque especial de ciberseguridad que hemos incluido excepcionalmente en MARKET VISION, y hoy incluimos otro informe difundido por Cisco España, empresa que ha preferido referirse al mismo virus como Nyetya (S21sec prefería llamarlo Petya, pero Cisco cree que son dos cosas diferentes).
IndentTalos (la división de inteligencia de ciber-seguridad de Cisco) ha identificado al agente de esta infección como el ransomware «Nyetya», al mantener diferencias con la variante Petya, Petrwrap o GoldenEye, como también se ha denominado.
IndentEl malware se comporta como un gusano extendiéndose lateralmente por la red afectada, al igual que WannaCry, el ransomware que infectó sistemas de todo el mundo en mayo. Sin embargo, a diferencia de WannaCry, de momento se propaga internamente y no escaneando internet a través de componentes externos como el e-mail.

IndentInfección y vías de propagación.
IndentUna vez entra en la red, Nyetya utiliza tres mecanismos para extenderse de forma automática: mediante la vulnerabilidad conocida como Eternal Blue (protocolo SMB de Microsoft) que ya fue explotada por WannaCry en mayo; Psexec, una herramienta legítima de administración de Windows; y WMI, un componente legítimo de Windows.
IndentEsta nueva variante de ransomware cifra el MBR (Master Boot Record) del equipo infectado —algo similar a la lista de contenidos del disco duro— pidiendo un rescate en bitcoins a cambio de recuperar los datos cifrados.
IndentLos análisis iniciales de Talos señalan que el ciber-ataque comenzó en Ucrania, posiblemente a través de una actualización de software para el programa de gestión de impuestos denominado MeDoc, utilizado por un gran número de organizaciones ucranianas o que tienen relación comercial con Ucrania. El ataque ha afectado también a organizaciones en España, Francia, Dinamarca, Reino Unido, Rusia y EE. UU.

IndentProtección y recomendaciones.
IndentLas soluciones de seguridad de red de Cisco (Firepower NGFW, Firepower NGIPS y Meraki MX) ya tenían actualizadas las reglas (desde que se conoció la vulnerabilidad en abril) para detectar y detener esta actividad maliciosa en las conexiones SMB.
IndentIgualmente, las soluciones de seguridad de protección frente a malware avanzado de Cisco (AMP, Advanced Malware Protection) también están actualizadas con la información sobre este ransomware para detectarlo y bloquearlo.
IndentLas recomendaciones de Cisco para que las organizaciones puedan protegerse frente a cualquier variante de ransomware y otro tipo de malware son:
Indent—Asegurarse de utilizar sistemas operativos con soporte y actualizados, parcheando de forma efectiva los terminales.
Indent—Utilizar software anti-malware y recibir y aplicar las actualizaciones de forma regular.
Indent—Tener un plan de recuperación frente a desastres con copias de seguridad de datos off-line.
IndentCisco ya apuntaba en su Informe Semestral de Ciber-seguridad, de julio de 2016, que veríamos nuevas variantes de ransomware aún más destructivo, capaz de extenderse por sí mismas (auto-replicarse) y secuestrar redes enteras. El Informe también señala que las «cepas de ransomware modular» podrán cambiar sus tácticas rápidamente para maximizar su eficacia. Por ejemplo, los futuros ataques de ransomware ocultarán su detección limitando el uso de CPU y evitando acciones «command-and-control», extendiéndose con mayor rapidez.


  
© 2017 - MARKET VISION.

 

Especial Seguridad Online