Guía rápida para enfrentarse al nuevo Petya

Guía rápida para enfrentarse al nuevo Petya

Desde ayer martes día 27 de junio, una variante del conocido crypto-ramsonware Petya se está utilizando para atacar ordenadores a escala mundial. Te ofrecemos la información esencial para protegerte.

Las alarmantes noticias de los medios de comunicación generalistas sobre el nuevo ciberataque global, conforman  el contexto que rodea a los profesionales TIC que tienen que enfrentarse de inmediato a proteger las infraestructuras de su empresa, mientras la información todavía es confusa, incompleta y multiples fuentes dan datos contradictorios.

Nos hemos propuesto acudir a cinco fuentes fiables y completar una guía rápida netamente práctica para abordar de inmediato la protección que tu organización necesita.

Las fuentes que hemos empleado son: Centro Criptológico Nacional, Microsoft, Karspersky, McAfee y TrendMicro.

El artículo lo hemos estructurado en tres partes: en la primera parte se repasa de forma sintética las vías de infección y las consecuencias, en la segunda se describe con cierto detalle las medidas de prevención y en la tercera se tratan las pocas opciones disponibles cuando la infección ya es un hecho.

Propagación de la nueva variante de Petya

Petya en un crypto-ransomware ya conocido, que lleva en activo desde el pasado año 2016. Se distingue de otros malwares de la misma familia porque ataca el sector de arranque, impidiendo no sólo el acceso a los documentos que albergaba el disco duro, sino al propio ordenador en sí.

Cómo es el resto de especímenes de la familia ransomware,  el objetivo es solicitar un rescate por la información secuestrada o, en este caso, por el equipo secuestrado.

Las novedades en este nuevo ataque es que utiliza nuevas vías de infección inicial y de propagación horizontal, empleando algunas de las vulnerabilidad que ya utilizaba WannaCry, sumándole otras alternativas.

Según las fuentes que antes hemos citado, las posibles vías de infección inicial son:

  • Correo electrónico tipo “phising”, con enlaces a documentos maliciosos, que provocan la infección, alojados en DropBox.
  • Supuestas actualizaciones de software, que resultan ser falsas y contaminan el equipo.
  • Protocolo RDP (Remote Desktop Protocol), empleado por ejemplo en Terminal Server de Microsoft.
  • SMB (Server Message Block), protocolo de compartición de recursos de Microsoft.

Nota: Estos dos últimas vías, sólo son identificadas por McAfee.

Una vez que en el equipo se inicia la infección, el sector de arranque (MBR) se modifica, el sistemas operativo se cuelga y  se produce un reinicio, tras lo que aparece una pantalla que simula un chequeo de disco, como ocurriría ante otro cuelgue del sistema operativo, pero en su lugar se procede al cifrado de la Tabla Maestra de Archivos.

Una vez finalizado ese proceso, se muestra un mensaje solicitando un rescate de 0,9 bitcoins (330 euros).

El malware funciona de manera autónoma y sin la necesidad de conectarse a Internet.

Y por último indicar, que los sistemas operativos afectados son los de la familia Windows, desde XP a 10 en estaciones y de 2003 a 2016 en servidores.

Medidas preventivas de protección

Al margen de las acciones arquetípicas que se indican en cualquier manual sobre ransomware (mantener los sistemas y aplicaciones actualizados, disponer de antivirus, concienciar a los usuarios, etc.), a continuación describimos medidas concretas que se deben aplicar en este caso:

  1. Aplicar el parcheado de Microsoft con código MS17-010-Critica (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx)l. El mismo que se tuvo que utilizar para WannaCry.
  2. Actualizar Office con Security Updates (https://portal.msrc.microsoft.com/en-us/security-guidance/summary) para evitar la vulnerabilidad CVE-2017-0199 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0199).
  3. Aplicar los parches críticos lanzados por Microsoft este 13 de junio y que se describen en el artículo «Microsoft Security Advisory 4025685», correspondientes a revelaciones del grupo Shadow Brokers realizadas junto a las que se emplearon para diseñar WannaCry (https://technet.microsoft.com/en-us/library/security/4025685.aspx)
  4. Anular la posible ejecución del programa PSEXEC. Se trata de un programa que permite ejecuciones remotas, forma parte de las utilidades SysInternals que ofrece Microsoft para facilitar la administración de grandes redes.
  5. Anular la posible ejecución de WMIC, que permite la ejecución remota mediante WMI.
  6. Actualizar la solución de protección del puesto (endpoint, coloquialmente llamadas antivirus), pues la mayoría de los fabricantes han lanzado ya actualizaciones que detectan esta variante de malware, incluido Microsoft con su BitDefender.
  7. Utilizar el truco descubierto por el investigador Amit Serper, consistente en situar tres archivos cualquiera con los nombres “perfc.dat”, “perfc.dll” y “perfc” en la carpeta de Windows (habitualmente “c:\windows”). El malware, al comenzar el proceso de infección mira a ver si existen esos archivos si en ese caso suspende el proceso de infección, porque considera que ya lo realizado previamente.

La realización de los puntos 1, 2 y 3,  si la red a actualizar es muy grande, es posible hacerla de forma muy eficiente empleando WSUS (Windows Update Manager) o SCCM (Microsoft System Center Configuration Manager).

Actualización 2017/07/03: En algunos contextos también es posible utilizar Windows Update para la aplicación de los parches, si bien en entornos corporativos este servicio debe ser utilizado con mucha precaución. Aunque para equipos domésticos o bien equipos profesionales sin una administración centralizada, es una opción a tener muy en cuenta.

Formas alternativas posibles de distribución de actualizaciones son crear scritps que automaticen la aplicación de los parches y ejecutarlos mediante políticas de Directorio Activo, preparando un usuario especial que al iniciar sesión los ejecute o utilizando PSEXEC (aunque para este caso concreto no parece lo más recomendable).

Los puntos 4 y 5 se pueden lograr con herramientas como AppLocker, con la funcionalidad a tal efecto que tienen algunos antivirus o con políticas de Directorio Activo.

Adicionalmente se puede tomar las siguientes medidas preventivas, que aunque son de carácter general, en este caso no está de más asegurarse que se están aplicando o bien empezar a hacerlo:

  • Anular la ejecución de código remoto en los navegadores.
  • Deshabilitar la ejecución de macros en los documentos ofimáticos.
  • Deshabilitar la previsualización de documentos, en Office y en los clientes de correo electrónico.
  • Limitar el acceso a DropBox o similares. Si bien, en el caso concreto de DropBox la empresa ha informado que ya ha eliminado los documentos contaminantes y ha puesto en marcha medidas adicionales para evitar nuevos usos fraudulentos similares.
  • Revisar la publicación de servidores que utilicen RDP en Internet, evitando publicaciones directas y en su lugar empleando VPNs.
  • Limitar el uso del protocolo SMB y controlar el puerto TCP 445. Si es posible, anularlos en todas las estaciones de la red.

Actualización 2017/06/29: Se incorpora información de Microsoft, proponiendo un «apaño» (workaround) para aquellos casos en que no pueda instalarse el parche MS17-010: desabilitar SMBv1 en base a las explicaciones del artículo 2696547 (https://support.microsoft.com/es-es/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows). El artículo en que se propone este «apaño» es: https://blogs.technet.microsoft.com/msrc/2017/06/28/update-on-petya-malware-attacks/

En caso de contagio

Como en otros incidentes producidos por especímenes de la familia ransomware, la única estrategia que ofrece verdaderas garantías es disponer de copias de seguridad actualizadas y fiables.

Si es así, se deberá proceder a reinstalar los equipos, con formateos seguros (nada de usar formateos rápidos) y mejor empleando previamente herramientas que borren de forma intensiva el disco duro, incluido el sector de arranque.

Después proceder a la restauración de los datos.

Karspersky Lab propone cierta estrategia si el proceso de infección se detecta en un ordenador y se es lo suficientemente rápido:

Cuando se ha producido el reinicio, el sistemas aparentemente estará chequeando el disco duro, pero lo está cifrando. En ese momento, proceder a un apagado brusco del equipo. Esto permite desconectar el disco duro, pincharlo en otro ordenador como disco duro esclavo (nunca como disco de arranque) y recuperar los archivos (al menos lo que no haya dado tiempo a cifrar).

Adicionalmente, como Petya sólo cifra la Tabla Maestra de Archivos, pero no los archivos en sí, existe la posibilidad aún de recuperarlos. Si bien es un proceso complejo, que habitualmente solo está al alcance de empresas especializadas en la recuperación de información.

En caso de simples sospechas, es posible obtener una “segunda opinión” sobre el estado de un equipo, complementaria al antivirus que tenga instalado, empleado la herramienta gratuita de Microsoft denominada “Microsoft Safety Scanner” disponible en: https://www.microsoft.com/security/scanner/es-es/default.aspx

Finalmente, indicar que hay noticias de empresas que han decidido pagar el chantaje. Esto no resulta recomendable: por una parte se estará estimulando a que estos grupos criminales continúen con su actividad delictiva, por otra, no existe ninguna garantía de que cumplan su palabra y realmente ser recupere la información o los equipos afectados.

Referencias

Los principales textos consultados para elaborar este artículo son:

Actualización 2017/06/29: Se incorpora el siguiente enlace a un artículo de Microsoft, con una descripción técnica muy detallada del funcionamiento interno de la variante de Petya utilizada en este ataque:
https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

Por último recomendar un webinar organizado por Kaspersky, con carácter de urgencia y que se realizará mañana jueves día 29 de junio.

Los datos precisos del webinar son:

– Jueves 29 de junio a las 16:00 hora española. Eastern Daylight Time/3 p.m. BST/GMT +1

– Registro previo al webinar: http://ml.kaspersky.com/E2m0I2XiJiD0H0cN3F0am0F

Post By Florián Manuel Pérez Sánchez (64 Posts)

Me apasiona la tecnología, pero también el arte y el periodismo. Tres ámbitos aparentemente dispares pero que a lo largo de mi vida se han ido entrelazando con naturalidad. Soy Ingeniero en Informática, he administrado redes y dirigido proyectos informáticos bastante diversos, también he colaborado con un montón de revistas, he hecho radio, escrito dos libros y publicado un disco (con el grupo Soul Dealers, del que fui compositor y productor musical). Actualmente trabajo en ciberseguridad y en mi tiempo libre disfruto dirigiendo La Factoría del Ritmo (la web de información musical pionera en español, que lleva en activo desde 1995: www.lafactoriadelritmo.com ), escribiendo en las revistas Rockdelux y Hip Hop Life (con una sección fija en la que analizo tecnología aplicada a la creación musical), y aprendiendo diseño gráfico y composición musical. También me encanta participar en iniciativas tan frescas como este blog.

Website: → La Factoría del Ritmo

Connect

,

No comments yet.

Deja una respuesta

Leave your opinion here. Please be nice. Your Email address will be kept private.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies
Translate »