Tras el último ataque, el 27 de junio, de ransomware del estilo Petya WannaCry, a organizaciones de todo el mundo. El equipo global de investigadores de amenazas de Trend Micro hace un análisis de como funciona este sistema, como actuar ante un ataque de estas características y qué consecuencias puede tener.
¿Qué es este último ataque?
Es una variante de Petya, una familia de ransomware vista por primera vez en 2016 y detectada por Trend Micro como RANSOM_PETYA.SMA. Después de infectar con éxito una máquina, esta versión modificará su registro de arranque maestro (MBR) haciendo que el sistema no arranque y confirmando que los usuarios quedan bloqueados mientras se muestra una nota de rescate que exige un pago de 300 dólares en Bitcoins. A continuación, cifra más de 60 tipos de archivos poniendo especial foco en los que se utilizan con mayor frecuencia en configuraciones de empresa – por ejemplo, los tipos de archivo de imagen y vídeo se salvan.
Se insta a las organizaciones afectadas a NO PAGAR el rescate ya que la cuenta de correo electrónico utilizada por los atacantes para validar los pagos ha sido desactivada por el proveedor Posteo.
¿Cómo se propaga?
Esta amenaza primero intentará propagarse a través de una versión modificada de PsExec, una herramienta de administración del sistema legítima, para instalar el ransomware. Si no tiene éxito, abusa de Windows Management Instrumentation Command (WMIC), otra interfaz de secuencias de comandos legítima, para ejecutar el ransomware en la máquina. Se cree que el uso de herramientas legítimas como esta ayuda a evadir los controles de seguridad tradicionales.
Solo si estas tácticas fallan, la amenaza recurrirá al mismo vector de infección que WannaCry: el exploit EternalBlue de la NSA que apunta a (MS17-010), una vulnerabilidad en Server Message Block de Windows.
Para ayudar a su propagación localmente, la amenaza también despliega una versión de Mimikatz, una herramienta de seguridad legítima que extraerá nombres de usuario y contraseñas de la máquina objetivo. Si ese PC tiene credenciales de administrador instaladas, entonces la amenaza podría extenderse a todas las máquinas de la red a través de PsExec/WMIC.
¿Cómo puedo mitigar la amenaza?
Como puede ver, esta amenaza es más compleja que WannaCry, con múltiples métodos de infección incorporados. Eso significa que la forma más efectiva de mitigar el riesgo es a través de un enfoque multicapa de defensa en profundidad. Esto debe incluir:
- La Concienciación del Usuario es fundamental, estar alerta antes de abrir correos electrónicos que procedan de fuentes desconocidas o de pinchar en enlaces que no parezcan correctos. También es importante sensibilizar y concienciar a los usuarios sobre lo que deben hacer si creen que han recibido un email sospechoso o si les anima a visitar un sitio dañino
- Actualización de sistemas con los últimos parches para bloquear el riesgo de explotación a través de EternalBlue. Considere el uso de parches virtuales si por alguna razón no puede implementar inmediatamente los parches del proveedor.
- Aplicar políticas de «privilegios mínimos» a todos los PC corporativos para ayudar a restringir su propagación.
- Restringir y proteger las herramientas de administración del sistema como PowerShell y PsExec.
- Deshabilitar herramientas y protocolos en sistemas que no los requieran. Comience por bloquear el puerto TCP 445.
- Hacer copias de seguridad con regularidad siguiendo la regla 3-2-1: 3 copias de seguridad en 2 medios diferentes con 1 copia de seguridad fuera de sitio.
- Monitorización proactiva de las redes en busca de comportamiento sospechoso.
- Implementar segmentación de red y categorización de datos para detener la propagación de ransomware.
- Monitorizar el comportamiento puede bloquear la actividad inusual, como los sistemas de cifrado.