Cabecera-v2-web.jpg

Campaña de distribución de variante del ransomware Petya


Recientemente se ha observado un aumento significativo de los casos de infección de una variante de ransomware llamada Petya, que ha afectado a personas y empresas de varios paí­ses. Se trata de una nueva variante de una familia de ransomware conocida que, al igual que WannaCry, explota una vulnerabilidad de SMBv1.0 para propagarse por computadoras vulnerables de la red, infectando a una gran cantidad de ví­ctimas en poco tiempo. Se ha reportado casos de Petya/PetrWrap que han afectado a numerosas personas, empresas y organizaciones de diversos sectores en varios paí­ses: bancos, industrias, instituciones gubernamentales, telecomunicaciones, entre otros.

El ransomware es un tipo de software malicioso (malware) que infecta un dispositivo y restringe el acceso al mismo, en la mayorí­a de los casos, encriptando documentos personales hasta que la ví­ctima pague un "rescate" exigido por el malware para desencriptarlos. Se puede transmitir de diversas formas, siendo una de las más frecuentes los correos electrónicos con archivos adjuntos (.zip, .pdf, .docx, etc.) o con enlaces que redirigen a sitios de descarga del malware, así­ como también sitios web legí­timos infectados, ataques de fuerza bruta a RDP, explotación de servicios expuestos a Internet, entre otros. En el caso particular de la campaña de distribución de Petya/PetrWrap aparentemente el vector de ataque inicial han sido correos electrónicos con un enlace.


¿Cómo funciona Petya?

A diferencia de la mayorí­a de las familias de ransomware recientes, Petya cifra el MFT (Master File Table) del disco duro, dejando el MBR (Master Boot Record) inoperable, con lo cual impide el acceso al sistema y deja el disco duro inutilizable, ya que cifra la información sobre los nombres de archivos, tamaños y localización de los mismos en el disco duro. Además, Petya reempalza el MBR con su propio código malicioso con la nota del rescate, exigiendo un rescate de 300USD en Bitcoins.

http://images.eldiario.es/fotos/Petya_EDIIMA20170627_0651_19.jpg


Petya además intenta explotar una vulnerabilidad de ejecución remota de código de SMBv1.0 (MS17-010), la misma que fue explotada por WannaCry y otros malwares recientes. De esta manera, puede propagarse rápidamente, afectando al resto de sistemas Windows conectados en esa misma red que no estén debidamente actualizados. La infección de un solo equipo podrí­a llegar a comprometer a toda la red corporativa. Si bien, se trata de una vulnerabilidad conocida, para la cual Microsoft ha publicado un parche el 14 de marzo, muchas personas y organizaciones todaví­a no han instalado el parche. Es por ello que, cuando detectamos que una máquina ha sido infectada por Petya u otras variantes, se recomienda aislar la máquina de la red, para evitar la propagación. Sin embargo, como la propagación ocurre antes de la aparición de la nota de rescate, el tiempo de reacción para ello es limitado.

Otro detalle interesante es que Petya no necesita contactar con ningún servidor para el intercambio de claves. En cambio, genera un ID de usuario único, el cual el usuario debe enviar manualmente por correo electrónico, luego del pago, de modo a que los cibercriminales, luego de verificar el pago, puedan realizar el proceso de decifrado.

Petya y sus variantes afectan a equipos que cuentan con sistema operativo Windows. Los sistemas más expuestos son aquellos que están afectados por la vulnerabilidad mencionada, sin embargo, es importante notar que dicha vulnerabilidad se explota con fines de propagación únicamente: una máquina no vulnerable igualmente podrí­a ser afectada por el ransomware mediante otro mecanismo.

El ransomware Petya utiliza estándares de encriptación robusta (probablemente SALSA20+ECDH/secp192k1), la cual por el momento no es reversible, por lo que no es posible recuperar los archivos del disco duro sin la clave que está en poder de los atacantes. Es por esto que las acciones preventivas son fundamentales:

  • No abrir nunca correos sospechosos, tanto si vienen de usuarios conocidos como desconocidos. Asegurarse siempre de que la persona que le ha enviado el correo realmente le querí­a remitir ese adjunto.
  • Evitar abrir los archivos adjuntos sospechosos. Incluso los archivos aparentemente inofensivos, como los documentos de Microsoft Word o Excel, pueden contener un malware.
  • No ingresar a enlaces dudosos que le son enviados a través de correo electrónico, servicios de mensajerí­a, redes sociales, etc.
  • Realizar copias de seguridad (backup) de toda la información crí­tica para limitar el impacto de la pérdida de datos o del sistema y para facilitar el proceso de recuperación. Idealmente, estas copias deben hacerse de forma regular y deben mantener en un dispositivo independiente (disco duro externo, o servicios en la nube como OneDrive, Dropbox, etc.)
  • Contar con soluciones de antivirus/firewall y mantenerlo actualizado, de modo a prevenir la infección.
  • Mantener su sistema operativo y el software siempre actualizado, con los últimos parches.
  • No acceder nunca a ningún pago u acción exigida por el atacante.
  • Actualizar los sistemas vulnerables o aplicar el parche publicado y/o deshabilitar SMBv1.0. Para los sistemas sin soporte o parche se recomienda aislar de la red y/o apagar

En caso de ví­ctima de ransomware se recomienda NO PAGAR, y realizar la denuncia a los organismos correspondientes; puede reportarlo al Centro de respuestas ante Incidentes Cibernéticos (CERT-PY).


Información adicional:

http://www.cert.gov.py/index.php/download_file/vie...



pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11