Ransomware Petya – ÚLTIMOS CIBERATAQUES

El Ransomware Petya se trata de una infección por Malware (software malicioso), con características de tipo ransomware (secuestro de información, cifrándola y pidiendo un rescate en moneda virtual: Bitcoins).

Muestra patrones similares al malware Petya identificado en 2016, que cifraba el MBR y MFT del disco duro, y vías de infección comunes a Wannacry, de mayo 2017.

Las 4 vías de infección del ramsomware Petya

Por el momento, se han encontrado diversas vías de infección, algunas de ellas pendientes de confirmación:

  • La más común, mediante una actualización maliciosa de un programa de facturación empleado en los canales oficiales de Ucrania (MEdoc), suplantando la actualización legítima mediante un archivo malicioso conteniendo la DLL del malware. Esto explica el mayor índice de infecciones localizado en dicha zona geográfica, y la afectación de empresas multinacionales con relaciones comerciales oficiales con Ucrania. La empresa ha confirmado que han recibido un ciberataque, pero no confirma la información de la ciberpolicía de Ucrania sobre éste incidente en su servicio de actualizaciones.
  • Según varios informes, también se ha encontrado en sistemas de compartición de archivos (Dropbox), contenido en archivos de office que simulan ser CV.
  • Además, el malware se propaga mediante los puertos SMB (especialmente 445), aprovechando la vulnerabilidad Eternalblue que empleaba Wannacry.
  • Los archivos infectados también podrían llegar al ordenador mediante cualquier otro tipo de envío o compartición de archivos (Dropbox/almacenamiento en nube, archivos enviados por sistemas de mensajería como Skype, o por envíos mediante wetransfer o similar).

¿Cómo podemos solucionar la infección de Ransomware Petya?

  • Enlazando al parche de actualización: Microsoft TechNet MS17-010
  • Se recomienda cerrar el puerto 445 (SMB) si no es necesario, o monitorizar su actividad, para detectar comportamiento de red sospechoso.
  • No pagar el rescate en ningún caso, ya que no existen garantías de que se reciba la clave de descifrado. Además, la dirección de e-mail a la que el malware indica que se debe enviar el comprobante de pago (en bitcoins) ha sido recientemente desactivada por el Service Provider.

Desde Neovalia, División de Valor en GTI, con el fin de apoyar al canal, os ofrecemos tres webinar formativos sobre ciberseguridad.

Próximas sesiones formativas Ciberseguridad

   Detecta, mitiga y protegete del malware con F-Secure 30/06/2017 – 12:30
   Active Defense 360 como protección integral frente al malware 03/07/2017 – 11:30
   Disaster Recovery: tu mejor defensa frente al ransomware 05/07/2017 – 11:30

 

Para cualquier información adicional y ayuda en la detección, mitigación y resolución de incidentes de ciberseguridad: ciber@gti.es

Fuente: Kamel Karabelli Ortega – Neovalia GTI