Blog B-SECURE

Alerta de ransomware: NotPetya

El pasado 27 de Junio surgió una nueva campaña de ransomware que presenta infecciones masivas a nivel global y que se asemeja a lo ocurrido con WannaCry apenas hace un mes. Aunque en un principio parecía que el ransomware era una variante de la familia Petya, se ha determinado que no están relacionados y se le ha empezado a llamar como NotPetya, Nyetya o GoldenEye

NotPetya.jpg

Todo indica que el malware surgió en Ucrania y se extendió rápidamente por Europa, afectando a varias industrias como bancos, gobierno, comercio y energía, entre otros. Ya se han detectado infecciones en Latinoamérica y específicamente en Colombia por lo que es importante conocer detalles del mismo y las correcpondientes medidas de protección.

 

 

Impacto corporativo  

Este ransomware es potencialmente más devastador que WannaCry, ya que no requiere sistemas vulnerables y sin parches para propagarse en la red local. Adicionalmente, a pesar de contar con una demanda de extorsión, se piensa que la finalidad no era cobrar un soborno. Por el contrario, los análisis parecen apoyar el hecho de que está diseñado para cifrar los datos y "tirar" la llave, llegandose a afirmar que NotPetya es una ciber-arma con fines políticos y no sólo un ransomware muy agresivo. Esto hace que el impacto en las organizaciones sea aun mayor pues no habría forma alguna de descifrar los datos, dejando los sistemas afectados inútiles e inoperativos.

Impacto tecnológico

A nivel de los sistemas operativos se ha podido identificar una afectación sobre las tablas de particiones y la información contenida en los discos, siendo necesaria la restauración de backups y en la mayoría de casos la reinstalación del sistema operativo.

DESCRIPCION TÉCNICA

En la mayoría de los casos la infección inicial se da a través de correos electrónicos con phishing que simula el envío de una hoja de vida u orden de compra, en formato de Microsoft Office Word (nombre comunmente usado Order-20062017.doc) o como una hoja de cálculo en formato de Microsoft Office Excel (nombre comunmente usado myguy.xls).

Posteriormente, NotPetya escanea las máquinas vulnerables de la LAN, enumerando todas las credenciales SMB guardadas en el sistema y utilizandolas para iniciar sesión en otras máquinas de la red local. Dado que son credenciales SMB existentes, incluso las máquinas Windows parcheadas están sujetas a infecciones. NotPetya utiliza tres métodos de propagación.

  1. Aprovecha EternalBlue para infectar sistemas que no han remediado la actualización de seguridad de Microsoft, MS17-010.
  2. Usa la herramienta de administración remota "psexec" para ejecutar el malware en un host remoto. Específicamente intenta escribir una copia de la herramienta Sysinternals de Windows "psexec", que está incrustada en la sección de recursos, en% WinDir% \ dllhost.dat.
  3. Usa  la herramienta de línea de comandos integrada de administración de Windows (WMIC), que se incluye de forma predeterminada en sistemas Windows y permite la conexión a sistemas remotos para realizar tareas administrativas. El malware se conecta utilizando las credenciales guardadas y ejecuta la DLL de NotPetya en el sistema remoto.

RECOMENDACIONES

  • Comunique a los usuarios finales sobre los riesgos de esta amenaza y mejores practicas frente a phishing y navegación en sitios inseguros.
  • Revise y actualice sus sistemas. Específicamente asegurese de parchar la vulnerabilidad descrita en el boletín mensual de Microsoft MS17-010.
  • Realice categorización de datos y segmentación de redes para mitigar una mayor exposición y daños a los datos.
  • Deshabilie SMB (v1) en máquinas vulnerables: utilizando GPO o siguiendo las instrucciones proporcionadas por Microsoft.
  • Aplique el principio de privilegio mínimo para todas las estaciones de trabajo.
  • Restrinja y asegure el uso de herramientas de administración del sistema como PowerShell y PsExec.
  • Deshabilite herramientas y protocolos en sistemas que no lo requieran (Ej, puerto TCP 445).
  • Realice copias de seguridad (backup) periódicas de datos.
  • Utilice un enfoque de seguridad por capas en punto final, mensajería y gateway, para garantizar que todos los posibles puntos de entrada y compromiso estan protegidos contra este tipo de amenazas.
  • Habilite sus firewalls, así como los sistemas de detección y prevención de intrusos.
  • Supervise y valide de forma proactiva el tráfico entrante y saliente de la red.
  • Implemente el control de aplicaciones para prevenir que los archivos sospechosos se ejecuten y realicen modificaciones no deseadas en el sistema.
  • Emplee mecanismos de monitoreo de comportamiento que puedan prevenir modificaciones (Ej, cifrado) a sistemas.
  • Proteja el gateway de correo electrónico y emplee la categorización de URL (para bloquear sitios web maliciosos) para reducir la superficie de ataque.
  • Actualice sus sistemas antimalware a la ultima versión disponible.
  • Si cuenta con una herramienta SIEM en su organización, cree e implemente reglas de correlación para la detección de este malware en su red. Si esta cuenta con caracteristicas de respuesta inteligente, habilite las reglas necesarias para impedir la infección (aislamiento automatico de la red, matar procesos maliciosos, etc..).
Topics: Cibercrimen