Etiqueta: Petya

Sólo el 66% de las organizaciones investigan las alertas de seguridad

Los ataques recientes como WannaCry y Nyetya, son un claro ejemplo que la industria no investiga los ataques latentes y que las empresas deben repensar su estrategia de seguridad, además, han demostrado la rápida capacidad de expansión y el creciente impacto de ciberataques que parecen ransomware, pero que son mucho más destructivos.

Esta evolución lleva a prever lo que Cisco denomina ataques de Destrucción de Servicio, que podrían resultar mucho más dañinos que los ataques tradicionales al dejar a los negocios sin posibilidad de recuperación ya que son capaces de eliminar las redes seguras y de backup que utilizan las organizaciones para restaurar sus sistemas y datos tras un incidente de ciberseguridad.

Así lo confirma el Informe Semestral de Ciber-seguridad (Midyear Cybersecurity Report, MCR) 2017 de Cisco, que destaca también cómo la imparable evolución del internet de las cosas en múltiples sectores está incrementando el espacio operativo de los ciberataques y su escalabilidad e impacto potencial. Sus vulnerabilidades de seguridad, listas para explotarse, jugarán un papel fundamental a la hora de facilitar estas campañas de mayor impacto. La reciente actividad de redes botnet compuestas por dispositivos IoT sugiere que algunos ciberdelincuentes podrían estar creando ya las bases para un ataque de grandes dimensiones y alto impacto que tendría incluso el potencial de interrumpir el mismo Internet.

Medir la efectividad de las prácticas de seguridad es esencial. Un menor tiempo de detección, el tiempo que transcurre desde que se analiza un archivo hasta que se detecta como amenaza, resulta crítico para limitar el espacio operativo de los atacantes y minimizar el impacto de las intrusiones. Cisco ha logrado reducir su tiempo medio de detección desde las más de 39 horas en noviembre de 2015 hasta las cerca de 3,5 horas entre noviembre de 2016 y mayo de 2017. Esta cifra se obtiene mediante telemetría interna de datos procedentes de dispositivos de seguridad de Cisco desplegados a escala global.

Ataques más tradicionales

Durante la primera mitad de 2017, los investigadores de seguridad de Cisco han detectado cambios en las técnicas que utilizan los adversarios para distribuir, ocultar y evitar la detección del malware. En concreto, los ciberatacantes recurren cada vez más a la interacción de las víctimas para activar las amenazas, haciendo clic en un enlace o abriendo un archivo. También crean malware ‘sin archivo’ que reside completamente en memoria y es más difícil de detectar o investigar, ya que se elimina al reiniciar el dispositivo. Además, utilizan infraestructura anónima y descentralizada -como servicios proxy de la red Tor- para ocultar las actividades command and control.

Aunque Cisco ha detectado un notable descenso en el uso de kits de explotación (exploit kits), están resurgiendo otros tipos de ataque más tradicionales: spam, spyware y adware, y ransomware como servicio.

“Nuestros adversarios son cada vez más creativos a la hora de diseñar sus ataques, como lo demuestran incidentes recientes como WannaCry y Nyetya. Aunque la mayoría de organizaciones están tomando medidas para mejorar su seguridad tras un incidente, se trata de una lucha constante por vencer a los atacantes. Una seguridad verdaderamente efectiva comienza por mitigar las vulnerabilidades básicas y convertir la ciberseguridad en una prioridad de negocio”, explica Steve Martino, vicepresidente y CISO en Cisco.

Consejos de ciberseguridad según Cisco

Según el estudio, sólo las dos terceras partes de las organizaciones investigan las alertas de seguridad, y en ciertos sectores (como atención sanitaria y transporte), esta cifra se reduce a cerca del 50 por ciento. Además, incluso en los sectores más proactivos (como el financiero) las organizaciones están mitigando menos de la mitad de las amenazas identificadas como legítimas o no maliciosas.

Para hacer frente a los crecientes y cada vez más sofisticados ciberataques, Cisco recomienda a las organizaciones adoptar una protección proactiva: mantener la infraestructura y las aplicaciones actualizadas, reducir la complejidad mediante una defensa integrada y limitando el uso de soluciones inconexas, involucrar a los comités directivos con la suficiente antelación para asegurar un correcto entendimiento de los riesgos de seguridad y de las limitaciones de presupuesto, establecer métricas claras y utilizarlas para validar y mejorar las prácticas de seguridad, fomentar la educación de los empleados enfatizando la formación por roles en lugar de la formación genérica, y reforzar las defensas con controles o procesos activos en lugar de pasivos.

Para David Ulevitch, vice-presidente y director general de la división de Seguridad en Cisco: “La complejidad continúa entorpeciendo muchos de los esfuerzos por reforzar la seguridad. Las múltiples soluciones puntuales y no integradas acumuladas a lo largo de los años crean enormes oportunidades para los atacantes, quienes pueden identificar fácilmente vulnerabilidades ignoradas o brechas de seguridad. Para reducir el tiempo de detección con efectividad y limitar así el impacto de los ataques, los proveedores de soluciones debemos apostar por una arquitectura más integrada que mejore la visibilidad y simplifique la gestión, facilitando la eliminación de brechas de seguridad”.

Redacción

 

NotPeyta, ¿un acto de ciberguerra?

El ataque NotPetya, ¿fue malware?, ¿Ransomware?, ¿destructor de información? Algo de lo que no cabe duda es éste devastó los sistemas informáticos en toda Ucrania y luego se extendió a otros países, infectando y cerrando firmas de abogados, supermercados, agencias de publicidad, cajeros automáticos, hospitales, entre otros.

Días después del ataque, investigadores en seguridad informática todavía están tratando de averiguar qué es exactamente NotPetya. Sin embargo, independientemente del análisis técnico final, la gran pregunta sigue siendo: ¿Fue NotPetya un acto de ciberguerra?

 

Ransomware? ¿destructor? ¿Qué fue realmente?

En este punto, está claro que NotPetya es malware, ¿pero es ransomware o un destructor de información? Aquí es donde las cosas empiezan a complicarse.

NotPetya no es exactamente un destructor de discos duros, pero ciertamente no es ransomware tampoco.

El problema es que NotPetya no elimina datos con una intención clara como un limpiador, digamos, como Shamoon y KillDisk. NotPetya tampoco cifra archivos con la intención de exigir un rescate por las claves de descifrado como lo haría el ransomware normal.

NotPetya encierra los archivos y se deshace de la llave, asegurando que las víctimas nunca puedan recuperar sus sistemas. De esta manera, los archivos cifrados son sometidos básicamente a un método de borrado. Por lo tanto, se podría decir que una infección ransomware que no deja posibilidad alguna de recuperación y el descifrado de archivos es equivalente a un limpiador.

Por ahora, la mayoría de los investigadores de seguridad insisten que esto fue un trabajo de borrado. MattSuiche fundador de Comae Technologies publicó un análisis titulado: “Petya.2017, un trabajo de borrado y no de Ransomware”; por otro lado,KasperskyLabspublicó otro similar denominado: “ExPetr / Petya / NotPetya es un limpiador, no Ransomware”

Sin embargo, considero que NotPetya se describe mejor como un ataque híbrido o tal vez uno de tipo ransom-wiper-ware

¿Ataque cibernético dirigido contra Ucrania?

Habiendo establecido que no sabemos cómo clasificar el ataque, vamos a sumergirnos en aguas aún más turbias. ¿Fue NotPetya un ataque cibernético dirigido contra Ucrania? En los últimos meses, vimos el objetivo de CrashOverride y derribar la red eléctrica de Ucrania, seguido de cuatro ataques maliciosos sucesivos y altamente enfocados en Ucrania que estaban vestidos para parecer un ransomware. Estos incluyen XData, PSCrypt, NotPetya y un ataque aún sin nombre descubierto por el investigador de seguridad MalwareHunter, que fue diseñado para parecerse a WannaCry, pero de hecho es algo completamente nuevo.

Este cuarto ataque también parece haber utilizado un método de entrega similar a XData y NotPetya: los servidores de actualización de M.E.Doc, un popular paquete de software de contabilidad ampliamente utilizado en Ucrania. Aunque M.E.Doc lo niega vehementemente, Microsoft y Talos, entre otros, han señalado a la compañía como la fuente de la distribución inicial de NotPetya.

NotPetya ha sido el ataque informático más devastador hasta el momento, con el vector de entrega altamente dirigido a infectar a las empresas y víctimas corporativas en Ucrania. El problema con un malware como este es que una vez que se libera en la naturaleza, puede propagarse a otros sistemas, redes y países por sí solo. Entonces, ¿estaba dirigido o no? La respuesta es inconclusa “probablemente” en este punto.

Sin una atribución positiva, el creciente consenso es que la responsabilidad recae en un actor estatal o suplente. Un número de investigadores de seguridad líderes han sugerido esto, incluyendo el NATO Cooperative Cyber Defence Centre of Excellence que emitió una declaración el 30 de junio confirmando:

“NotPetya probablemente fue lanzado por un actor estatal o un actor no estatal con apoyo o aprobación de un estado. Otras opciones son poco probables. La operación no fue demasiado compleja, pero aun así compleja y costosa de haber sido preparada y ejecutada por hackers no afiliados por el bien de la práctica. Los delincuentes cibernéticos tampoco están detrás de esto, ya que el método para recaudar el rescate estaba tan mal diseñado que el rescate probablemente ni siquiera cubría el costo de la operación “.

Esto nos lleva de nuevo a la pregunta inicial. Si probablemente fue lanzado por un actor estatal o un sustituto y que probablemente estaba dirigido a Ucrania, y probablemente estaba destinado a causar daños económicos generalizados e indiscriminados, ¿NotPetya fue un acto de ciberguerra?

La razón es muy importante para determinar si fue o no un acto de guerra y de ser así, que pasos tomará la OTAN para proteger la seguridad a la que siempre se ha comprometido. La defensa colectiva, tal como se define en el artículo 5 del tratado, se reduce a: Un ataque contra un aliado es considerado como un ataque contra todos los aliados. Por lo tanto, un sólido sí con abundante evidencia tendría graves consecuencias políticas y militares.

 

¿Un acto de ciberguerra?

Aunque muchos indicadores muestran que NotPetya era un limpiador disfrazado de ransomware, así como un ataque cibernético dirigido a causar destrucción generalizada en Ucrania por un actor estatal o suplente, sin una definición técnica clara y sólo pruebas circunstanciales y sin atribución clara, ¿puede realmente ser considerado un acto de ciberguerra?

La OTAN dice, “probablemente no”: “Si la operación pudiera vincularse a un conflicto armado internacional en curso, entonces se aplicaría la ley de los conflictos armados, al menos en la medida en que las lesiones o daños físicos fueran causados ​​por ella y con respecto a la posible participación directa en hostilidades por parte de hackers civiles, Pero hasta ahora no hay informes de ninguno.

Hay una falta de un elemento coercitivo claro con respecto a cualquier gobierno en la campaña, así que la intervención prohibida no entra en juego. A medida que se van dirigiendo los sistemas gubernamentales importantes, en caso de que la operación se atribuya a un estado, esto podría considerarse una violación de la soberanía “. – TomášMinárik, investigador de la CCD de la OTAN

Seamos sinceros. La OTAN no va a hacer una llamada clara sobre quién está exactamente detrás de esto en el corto plazo. La cantidad actual de pruebas circunstanciales probablemente no sería suficiente para conseguir ser lo suficientemente concluyente como para llamar a un estado-nación específico por haber cometido un crimen internacional. Para acercarnos a declarar que esto es un acto de ciberguerra, hay muchos detalles que necesitan ser investigados a fondo y probados y, hasta ahora, no estamos muy cerca de lograrlo.

 

Si no es un acto de ciberguerra, ¿qué es NotPeyta?

La OTAN saldrá perpleja y dirá que “[NotPetya] podría ser un hecho internacionalmente ilícito, que podría dar a los estados objetivo varias opciones para responder con contramedidas”.

Si esto es cierto y la comunidad internacional llega a la conclusión de que NotPetya es un “hecho internacionalmente ilícito” con arreglo al derecho internacional, podría dar lugar a una respuesta conjunta de la UE en forma de sanciones. El Consejo Europeo emitió un comunicado de prensa al respecto, señalando, además:

La respuesta diplomática de la UE a actividades cibernéticas maliciosas hará pleno uso de las medidas de la Política Exterior y de Seguridad Común, incluidas, en su caso, medidas restrictivas. Una respuesta conjunta de la UE a actividades cibernéticas maliciosas sería proporcional al alcance, la escala, la duración, la intensidad, la complejidad, la sofisticación y el impacto de la actividad cibernética.

La UE reafirma su compromiso con la solución pacífica de controversias internacionales en el ciberespacio. En este contexto, todos los esfuerzos diplomáticos de la UE deben tener como objetivo prioritario promover la seguridad y la estabilidad en el ciberespacio mediante una mayor cooperación internacional y reducir el riesgo de malentendidos, escalada y conflictos que pueden derivarse de incidentes relacionados con las TIC.

En el caso de que no fuera ni un acto de guerra cibernética ni un “hecho internacionalmente ilícito”, ¿cómo podríamos llamarlo ahora? LauriLindström, investigadora de la Sección de Estrategia del COE de la CCD de la OTAN, llegará tan lejos como para decir que se trataba de una “declaración de poder” y que el ataque era simplemente una “demostración de la capacidad disruptiva adquirida y disposición a utilizarla”.

¿Declaración de poder?¿Qué significa eso? La parte de tecnología era fácil, pero cualquier cosa sobre la capa 7 también está por encima de mi nivel de pago y comprensión. Lo que sí creo que significa es que nadie sabe realmente qué hacer cuando se trata de cibercriminales como los que perpetraron este ataque.

Desafortunadamente, mientras todo esto sucede, los consumidores, los ciudadanos, las empresas y los gobiernos seguirán estando en peligro y deberán considerar invertir en una postura de seguridad basada en la visibilidad para que puedan detectar mejor y responder rápidamente a todo lo anterior: Ciberataques, actos internacionalmente ilícitos y declaraciones de poder.

 

Por: Kevin Magee,

Global Security Strategist,

Gigamon.

 

¿Otro ataque de ransomware? Bienvenido a la nueva normalidad

¿Qué ocurre cuando se combina la estructura y enfoque del crimen organizado con la organización y escala de un estado nación? Se obtienen dos ataques de ransomware a nivel global como ningún otro que el sector haya visto antes. Bienvenidos a la nueva normalidad.

El miércoles pasado se desencadenó, a nivel global, otro ataque del tipo ransomware llamado Petya que, según los informes, impactó en más de 12,000 computadoras, encriptando sus discos duros e inutilizándolos.

Petya utilizó un exploit descubierto por la NSA y fue lanzada por el grupo de hackers Shadow Brokers, quienes encriptaron los datos (en esta ocasión en los discos duros, en vez de hacerlo en los archivos individuales) y exigieron $300 USD en Bitcoins. Denominado ExternalBlue, este exploit es una exposición de Bloques de Mensajes del Servidor (SMB, por sus siglas en inglés) que afecta principalmente a las máquinas de Windows, y provee el tipo de exposición por el cual se esfuerzan los estados nación: una aplicación que está bien arraigada en Internet y que es ampliamente utilizada tanto por las empresas privadas como por los organismos gubernamentales.

A diferencia de WannaCry, que fue difundido y escaneando sistemas de internet vulnerables que ejecutaban SMB en la internet pública, Petya fue distribuido internamente a través de una dependencia de la cadena de suministros, mediante una aplicación de software contable llamada MeDoc. Aparentemente, estos actores maliciosos agregaron el exploit a la distribución de una actualización de MeDoc, que luego se abrió camino para llegar a los clientes, comprometiendo los sistemas internos de la compañía aprovechando el exploitEternalBlue.

Muchas compañías protegieron su visibilidad pública a EternalBlue, aunque aparentemente no pasó lo mismo con su susceptibilidad interna, y esto posibilitó que Petya se esparciera rápidamente a escala global. Petya fue particularmente destructivo por naturaleza, toda vez que encriptó el Registro de Arranque Maestro (Master Boot Record), impidiéndoles a los usuarios ingresar al sistema y tornando inutilizable a la PC en su totalidad.

WannaCry y Petya representan una nueva era de ataques extorsivos, donde los grupos del crimen organizado buscan exploits que les den la mayor cantidad de víctimas en el menor tiempo posible.

En lugar de ransomware “dirigido”, que opera esperando que haya un elevado porcentaje de participación de pago de víctimas específicas, ésta es una técnica ransomware más del tipo “spam”. Procura infectar a la mayor cantidad de personas posibles, es decir, que aun con un porcentaje de participación más pequeño, reditúa más que los ataques dirigidos concentrados.

Además, Petya también agregó el elemento de dependencia de la cadena de suministro, compañías que aceptan actualizaciones de los proveedores directamente en las producciones. Si bien éste no es el primer y principal riesgo para las compañías de un ataque al proveedor de la cadena de suministros (Target, etc.), es algo de lo que tomarán nota otros cibercriminales.

¿Qué hacer para protegerse? Aquí algunas recomendaciones

Realice un backup de sus datos críticos.

Emparche sus sistemas lo más rápido posible.

Segmente sus sistemas de producción y de usuarios para contener la dispersión de las infecciones y de los peligros.

Instruya a sus usuarios acerca de los peligros del phishing.

Acepte las nuevas actualizaciones de su cadena de suministro primero en un entorno de prueba y monitoree dicho entorno de prueba buscando infecciones.

Solicíteles a sus proveedores de seguridad, firmas específicas para los exploits de los Shadow Brokers, para poder determinar cuando alguien está tratando de usarlas en su entorno.

No pague ransomware (rescate). Rara vez recuperará sus archivos. Más importante aún, quedará etiquetado como alguien que va a pagar.

Contacte a su ISP para que lo ayude a rastrear y a bloquear los ataques contra sus puntos de acceso a internet.

 

 

Por: Dale Drew, Chief Security Officeren Level 3.

El objetivo del ransomware Petya no fue obtener dinero, expertos

Varias compañías expertas en ciberseguridad creen que los atacantes no tenían ni siquiera herramientas para descifrar los archivos codificados y que el único móvil era hacer daño, sobre todo en Ucrania.

Si el principal motivo fue hacer negocio, el ransomware Petya resultó un gran fracaso. Es más, poco tiempo después del secuestro la dirección de pago fue bloqueada por el servidor Posteo en los equipos de toda Ucrania, Rusia y Europa Occidental. Esto eliminó cualquier posibilidad de que se recibiera una clave de descifrado, y por lo tanto cualquier incentivo para pagar el rescate. Las ganancias fueron tan reducidas que no habrían pasado los 13,500 dólares.

Este hecho hace llevar a los expertos a la idea de que el económico no era el móvil del delito, sino que detrás se esconden motivos mucho más siniestros.  Según informes reportados pro Kaspersky y Comae, los que estaban detrás del ransomware nunca pudieron descifrar la información codificada. Señalan que el “objetivo principal del ataque no era hacer dinero, la motivación era sólo destructiva”, ha señalado Anton Ivanov, empleado de Kaspersky.

Petya, que ya tenía una versión anterior desde hace un año, ha sido reescrito para funcionar como lo que los expertos llaman “limpiaparabrisas” que solo tienen el objetivo de dañar. Este ataque simplemente destruye los archivos e impide que sean reparados.  “El motivo era simplemente entrar en la agenda de los medios de comunicación de todo el mundo”, según Comae. “Quizás para llamar la atención de algún grupo de hackers”.

Rastrear a los individuos detrás de cada ataque es una tarea complicada. Sin embargo, si el objetivo fue principalmente hacer daño a Ucrania, las fechas son más que oportunas. Hoy es el día de la Constitución del país en el que se celebra la independencia de la Rusia soviética. Y, los daños sufridos en otras partes por la propagación, por ejemplo, Australia, serían simplemente colaterales.

George Nott

 

Todo lo que necesita saber sobre Petya

SophosLabs reportó una nueva cepa de ransomware el 27 de junio. Este malware ha sido distinta y confusamente, llamado como Petya, GoldenEye, WannaCry2, NotPetya, PetrWrap y PetyaWrap. Sophos identificó el archivo principal de este malware por el nombre Troj/Ransom-EOB, pero en la siguiente información se utilizará el nombre PetyaWrap para mayor facilidad.

De acuerdo a Por Paul Ducklin, redactor en Naked Security de Sophos, “cada vez que rompe una nueva historia de malware, surgen muchas dudas  que a veces nos da vergüenza preguntar. Así es que Ducklin preparó esta guía para entender este nuevo ataque de ransomware:

 

  1. ¿Por qué el nombre PetyaWrap?

El corazón de este nuevo ransomware es casi idéntico a una cepa ransomware existente desde el 2016 conocido como Petya. A diferencia de la mayoría de ransomware, que revuelve archivos de datos, pero deja una computadora capaz de arrancar en Windows y ejecutar sus aplicaciones habituales, Petya revuelve el disco en el nivel del sector, de modo que no se puede iniciar normalmente en absoluto.

La variante PetyaWrap hace mucho más que el original Petya ransomware.

PetyaWrap incluye un número de otros conceptos y componentes saqueados de otras cepas de malware, incluyendo GoldenEye y WannaCry, envuelto en una nueva variante de ransomware que hace mucho más que la cepa original Petya. Por eso Sophos lo llama PetyaWrap en este artículo, para aclarar.

 

  1. ¿Qué técnicas de malware combina PetyaWrap?

Al igual que WannaCry, PetyaWrap es un gusano informático, lo que significa que puede propagarse por sí mismo. PetyaWrap puede copiarse alrededor de una red y luego lanzar automáticamente esas nuevas copias sin esperar a que los usuarios lean los correos electrónicos, abran archivos adjuntos o descarguen ficheros a través de enlaces web.

Al igual que el ransomware GoldenEye, PetyaWrap encripta los archivos de datos de manera que sólo los atacantes conocen la clave de desencriptación, por lo que no se puede descifrar los archivos sin su ayuda.

Como si eso no fuera suficiente, después de difundir y revolver los datos, PetyaWrap hace lo mismo que el malware original Petya, que revuelve su disco hacia abajo en el nivel del sector, por lo que no  se puede acceder a la unidad C: en absoluto, incluso si se conecta el disco en otro equipo.

 

  1. ¿Cómo se propaga PetyaWrap a través de una red?

Primero, como WannaCry, trata de explotar un par de agujeros críticos de seguridad de Windows que fueron robados de la Agencia de Seguridad Nacional de los Estados Unidos (NSA) y filtrados por un equipo de hackers llamado Shadow Brokers. (La principal vulnerabilidad utilizada es comúnmente conocida por su nombre NSA original: ETERNALBLUE.)

Si se tienen los parches contra WannaCry – Microsoft publicó parches que impidieron el ataque antes de que WannaCry saliera – entonces se está protegido contra esta parte de PetyaWrap.

En segundo lugar, trata de propagarse utilizando una herramienta popular de ejecución remota de Windows llamada PsExec – PetyaWrap tiene una copia del software PsExec incrustado en su interior, por lo que no es necesario descargarlo en primer lugar.

PsExec es parte de la propia suite Sysinternals de Microsoft, comúnmente aprovechada por los ciberdelincuentes como una forma conveniente de moverse dentro de una red después de haber entrado desde el exterior.

Hay que tener en cuenta que el truco PsExec no funcionará si el equipo infectado no tiene suficiente privilegio de cuenta para ejecutar comandos en el destino que está atacando, es una buena razón para no utilizar las cuentas de administrador todo el tiempo, no importa lo conveniente que podría ser para el personal de TI.

En tercer lugar, PetyaWrap husmea en la memoria buscando contraseñas que aumenten sus privilegios de acceso y le den acceso administrativo a otros equipos de la red.

Este espionaje de contraseña se realiza utilizando una copia modificada de una herramienta de captura de contraseñas llamada LSADUMP de Mimikatz Toolkit. Como con PsExec, esta herramienta de hacking se incrusta en el programa PetyaWrap, por lo que no es necesario descargarla primero.

  1. ¿El parche contra WannaCry es suficiente para estar seguro?

No. Como se explica anteriormente, PetyaWrap tiene tres trucos de propagación, de los cuales, la técnica de WannaCry es la primera que prueba. Si el agujero de WannaCry está cerrado, PetyaWrap intenta PsExec; si eso no funciona, intenta LSADUMP y la interfaz de administración de Windows para “administrar” tu red.

Los parches para WannaCry son necesarios pero no suficientes.

 

  1. ¿Recuperaré mis datos si pago el rescate?

Es dudoso. De hecho, la dirección de correo electrónico por la que se supone se puede ponerse en contacto con los delincuentes está suspendida, por lo que es poco probable que se pueda hacer un trato con ellos.

 

  1. ¿Puede PetyaWrap difundirse a través de internet, como WannaCry?

No y sí. WannaCry tenía dos funciones de propagación que corrían en paralelo: uno recorrió su LAN tratando de difundir localmente; el otro salió al azar buscando nuevas víctimas en internet.

PetyaWrap no intenta explícitamente encontrar nuevas víctimas en internet, pero se adhiere al LAN, tal vez con la esperanza de llamar menos la atención. Desafortunadamente, las LANs (abreviaturas de redes de área local) a menudo no son realmente locales, a menudo incluyen oficinas periféricas y trabajadores remotos, además de contratistas.

Por supuesto, algunas de esas computadoras remotas pueden ser parte de más de una LAN, lo que significa que pueden actuar como un “puente” entre dos redes, incluso si pertenecen a organizaciones completamente diferentes.

En otras palabras, con todo y que PetyaWrap no está programado para difundirse a propósito a través de internet, tampoco está programado para evitar saltar sobre la red de otra persona si hay una interconexión.

Es importante destacar que PetyaWrap utiliza las herramientas de red integradas en Windows para sus señalizaciones sobre dónde probar a continuación, así que si se puede navegar a los servidores de una empresa asociada desde una computadora, o hacer clic a través de sus PCs domésticos desde el trabajo, entonces PetyaWrap puede hacer lo mismo.

  1. ¿Cómo se inició el brote de PetyaWrap?

Aún no se sabe con seguridad. Muy temprano, el día del ataque muchos señalaron a una compañía ucraniana de software que produce programas de la contabilidad de impuesto, sugiriendo que un hacker de los servidores de la actualización de la compañía pudo haber dado a los ladrones una ventana de oportunidad para lanzar una onda inicial de infecciones.

Microsoft ahora afirma tener pruebas de que una versión hackeada del programa de AutoUpdate de la compañía podría haber estado conectada a un brote PetyaWrap.

 

  1. ¿Ha aparecido PetyaWrap en correos electrónico de phishing?

En Sophos no se ha visto ninguna evidencia de los correos electrónicos de phishing que propagan este ransomware. Pero no hay que bajar la gurdia. Los correos electrónicos de phishing son uno de los conductos más comunes para el malware, especialmente ransomware, para hacer su primera aparición dentro de una organización.

¿Qué debo hacer ahora?

El ransomware como PetyaWrap puede hacer mucho daño, incluso si se limita a una cuenta de usuario regular, porque la mayoría de los usuarios tienen el derecho de leer, escribir y modificar sus propios archivos a voluntad. Pero cualquier malware, especialmente un gusano de red como PetyaWrap, es mucho más peligroso si puede obtener privilegios de nivel de administrador en su lugar.

Por lo tanto, incluso si no se sufrió el brote de PetyaWrap, es un buen pretexto para mirar a quién en la red se le permite hacer qué y dónde se les permite hacerlo.

 

Aquí hay algunos pasos útiles:

– Revisa todas las cuentas de dominio y administrador local para deshacerse de las contraseñas que pueden ser fácilmente agrietadas. Si no pruebas las fortalezas de tu contraseña, los ladrones lo harán por ti.

– Revisa qué personal tiene, o puede adquirir, privilegios de administrador en los equipos de otros usuarios o en el dominio. Si te das cuenta de que tienes privilegios que ya no necesitas, díselo y haz que te lo quiten – por tu propia seguridad, así como la de todos los demás.

– No permitas que el personal de TI inicie sesión o ejecute ningún software con privilegios de Administrador excepto cuando lo necesiten explícitamente. Una vez que hayan completado una tarea administrativa, deben volver a degradarse a los privilegios de usuario habituales, aunque sea menos conveniente.

– Comprueba si tienes alguna acción de red que se supone que se limita a su LAN, pero que aparecen en internet. Si no revisas tu propia red, los ladrones lo harán por ti.

 

Nunca se debe asumir que las opciones de seguridad que se aplicaron el año pasado, o los ajustes que se reforzaron el mes pasado, todavía funcionan hoy.

 

N. de P.

Nuevos ataques de ransomware se propagan por todo el mundo

La empresa de ciberseguridad ESET, levanta una alerta sobre un nuevo ataque de ransomware que se inicia en Ucrania, utiliza técnicas similares a Petya, una familia de ransomware que cifra el sector de arranque de la máquina afectada además de los archivos. Esta amenaza es actualmente detectada por ESET como Win32/Diskcoder.C. El mismo ya se extendió a otros países afectando compañías de distintas industrias como bancos, red eléctrica y empresas postales, entre otras. Además, entes gubernamentales también habrían sido atacadas.

El ransomware, el cual secuestra la información mediante cifrado del disco duro o almacenamiento en estado sólido, es el término genérico para referirse a todo tipo de software malicioso que le exige al usuario del equipo el pago de un rescate.

“Las investigaciones indican que el ataque habría comenzado en Ucrania, el país más afectado al momento”, aseguró Camilo Gutierrez, Jefe del Laboratorio de ESET Latinoamérica. El Banco Nacional de Ucrania emitido un mensaje en su sitio web acercando una advertencia a otros bancos sobre el ataque ransomware. “la empresa naviera danesa Maersk y la compañía de publicidad británica WPP. En lo que refiere a Latinoamérica, el de mayor impacto hasta el momento es Argentina.”, agregó Gutiérrez.

Este tipo de ataque se relaciona con el reciente WannaCrytor que hace menos de un mes afectó y detuvo el negocio de múltiples empresas alrededor del mundo. Así también presenta similitudes con el ransomware Petya, amenaza que surgió durante el 2016 y se dirigía especialmente a personal de recursos humanos de empresas alemanas, impidiéndoles iniciar sus computadoras y cifraba sus discos duros.

“Este tipo de ataque alertan a las compañías porque detienen la continuidad del negocio, pero es importante saber que pueden estar protegidos teniendo una infraestructura de seguridad eficiente y actualizada. En definitiva, se trata de mantenerse en alerta y aplicar buenas prácticas de seguridad sin caer en la desesperación, y tal como siempre recomendamos: en caso de ser víctima, no acceder al pago solicitado por los atacantes ya que no solo no está garantizado que vayan a devolver el acceso a los archivos, sino que esta práctica alienta a que se continúen realizando este tipo de ataques.”, concluyó Gutiérrez.

Lo importante ante esta situación es seguir las recomendaciones de seguridad, desde ESET Latinoamérica se brindan las siguientes:

  • Actualizar los sistemas operativos y aplicaciones a la última versión disponible. En caso de contar con una red, asegurarse de que todos los equipos cuenten con los parches de seguridad aplicados.
  • No ejecutar archivos de dudosa procedencia que podrían llegar como adjuntos en correos electrónicos. Esta recomendación también aplica en caso de recibir un correo sospechoso por parte de un contacto conocido.
  • Mantener actualizadas las soluciones de seguridad para poder optimizar la detección de estas amenazas.
  • Realizar backups periódicos de la información relevante.
  • En caso de que se trate de una empresa, también es recomendable dar aviso a los empleados de que estén alertas frente a esta amenaza y que no ejecuten archivos de procedencia sospechosa.

N de P. ESET

Nuevo ransomware Satana cifra el sistema de arranque en PCs

El primer ataque denominado Petya, ahora se ha detectado esta nueva modalidad de malware bautizada como Satana que actúa como un ransomware peligroso al cifrar los archivos de los usuarios y los sistemas de arranque de sus equipos. Satana logra afectar al sector de arranque MBR de las computadoras, dejándolos sin posibilidad de iniciar el sistema operativo que tengan instalado. Según la firma de seguridad Malwarebytes, es funcional pero todavía de baja propagación.

El código MBR es almacenado en los sectores de arranque del disco duro, conteniendo información relacionada con las particiones del disco para permitir su inicio. Sin una adecuada estructura MBR, los equipos de cómputo desconocen qué particiones tienen sus discos duros y en cuál de ellas se encuentra el sistema operativo para poder iniciarlo.

Ahora bien, existen diferencias significativas entre Petya y Satana. Si Petya actúa de manera que reemplaza el MBR con el fin de poner en marcha un sistema de arranque personalizado que cifra la tabla maestra de archivos del sistema, Satana actúa de forma diferente. Simplemente reemplaza el MBR con su propio código y almacena una versión cifrada del registro de arranque original, por lo que puede restaurarse más tarde si la víctima paga el rescate. Esto deja al ordenador sin posibilidad de iniciarse, pero ofrece alternativas más factibles frente a cómo actúa Petya.

En mayo, se detectó que Petya se combinaba con un programa de ransomware denominado Mischa que también lleva a cabo un comportamiento más tradicional, cifrando los archivos personales de los usuarios directamente si no se pueden obtener privilegios de administrador para atacar los sectores de arranque MBR y MFT.

Satana cifra los archivos de usuario con extensiones específicas y espera pacientemente a que el primer reinicio se produzca, momento en el cual reemplaza al MBR. Es cuando el usuario ve una pantalla de inicio exigiendo un pago de un rescate de 0.5 Bitcoin, que equivalen a 340 dólares.

Dicha rutina hace que sea más difícil para los usuarios que no tienen conocimientos técnicos, restaurar su equipo, ya que les obliga a utilizar un equipo independiente para realizar el pago, ya que el ordenador infectado no es capaz de iniciar Windows. Por el momento, no han encontrado modo alguno de poder descifrar Satana de manera gratuita, destaca Lawrence Abrams, fundador del foro de soporte BleepingComputer.com, un blog de tecnología.

Es posible que algunos usuarios sean capaces de reparar el MBR de los equipos, pero haciendo uso de las opciones de recuperación del sistema Windows y trabajando además con la línea de comandos de Windows, con la herramienta de recuperación Bootrec.exe, por otro lado se pudo haber estropeado el arranque además de la partición y sería necesario instalar Windows desde cero.

La versión actual de Satana aún no ha sido distribuida de forma masiva, y los investigadores no esperan que hará porque el código aún no es maduro y tiene defectos. Sin embargo, creen que esta versión es probable que sirva como base para futuras mejoras.

IDG News Services, Lucian Constantin