¿Todavía no sabes que es Petya? Es un ataque de ramsomware que se empezó hace dos días en Europa y que hace un trabajo malévolo similar a Wannacry.
Forcepoint Security Labs sigue refiriéndose a éste ataque como Petya, aunque otros proveedores han decidido darle distintos nombres. En términos llanos, las muestras analizadas han pasado el ‘test del pato’ como Petya, las cuales han realizado antes las siguientes acciones:
no posts found- Encriptar archivos en el disco sin cambiar la extensión del archivo;
- Reiniciar la máquina cuando se infecta;
- Encriptar el Master Boot Record (registro de arranque principal) de las máquinas infectadas;
- Presentar una pantalla CHKDSK falsa como la portada del proceso de encripción; y
- Mostrar una pantalla casi idéntica en la que se exige el rescate después de completar sus actividades.
Si bien en este caso los mecanismos de propagación y de movimiento lateral son muy raros, parece razonable que el código del ransomware sea una variante de Petya vinculada a un novedoso método de propagación.
La empresa de seguridad recomienda no pagar el rescate. Ya no existe un mecanismo para darle a la víctima la llave de desencripción cuando paga el rescate pues se ha desactivado el correo electrónico para comunicarse con el atacante. Incluso si la víctima paga el rescate con Bitcoin, ahora el atacante no tiene manera de compartir la llave.
Es mucho más complicado obtener los archivos que no se han encriptado, aunque pronto podrían estar disponibles herramientas de desencripción de terceros.
Ocasionalmente una empresa podría decidir pagar el rescate, pero en el caso de Petya no vale la pena.
Microsoft reportó que se cree que el vector de infección inicial fue código malicioso que se hizo pasar como una actualización de software legítima. Debido a la relación confiable asociada con las actualizaciones de software automáticas, son pocas las probabilidades de que la protección perimetral detecte este vector.
Las muestras que se analizaron intentaron moverse lateralmente dentro de las redes usando credenciales que fueron robadas de las máquinas de las víctimas junto con una combinación de comandos PSEXEC y WMIC, y mediante el uso de las vulnerabilidades de SMBv1. Hasta ahora, no se ha observado que las muestras estén intentando propagarse a otras organizaciones; este comportamiento se limita a las redes locales.
Como se confirmó el 27 de junio de 2017, cuando inició la propagación de este ransomware, Forcepoint NGFW es capaz de detectar y bloquear el uso de la explotación de SMB que utiliza este ataque para los clientes que utilizan Forcepoint NGFW en sus redes.
Si se lanzara una campaña secundaria a través de un sitio web comprometido o de correo electrónico malicioso, Forcepoint Web Security and Email Security puede detectar y proteger contra esta nueva amenaza.
