Atención! Recomendaciones para evitar el ataque de la nueva versión del ransomware #Petya

El martes 27 de junio de 2017 se produjo un nuevo incidente de ciberseguridad que involucró a varias empresas en el mundo, sobre todo en Europa.

Se trata de un nuevo ransomware, el cual es una nueva versión del ya conocido Petya que fuera observado por primera vez a principios del 2016, solo que esta versión se comporta de manera similar al Wannacry.

Esta pieza de malware, encripta las tablas MFT (Master File Tree) de NTFS y sobreescribe el Master Boot Record (MBR) del equipo infectado dejandolo inutilizable tal como muestra la imagen a continuación:

Según el análisis de los expertos, el virus también encripta archivos de las siguientes extensiones: .3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip.

El mecanismo de rescate es similar a los ransomware conocidos, se solicita depositar el monto de 300 dólares en bitcoins en la siguiente billetera electrónica. Luego de realizado el pago, el atacante libera una clave que es la indicada para desencriptar los archivos afectados.

La infección y propagación se realiza únicamente en equipos con sistema operativo Windows, usando como vector la vulnerabilidad ETERNALBLUE para el sistema de compartición de archivos y carpetas de Windows (SMB) reportado en el Microsoft Security Bulletin MS17-010.

Dada la criticidad, se recomienda aplicar los parches de seguridad de forma urgente teniendo en cuenta que los recursos afectados son:

  • Microsoft Windows Vista SP2
  • Windows Server 2008 SP2 and R2 SP1
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 and R2
  • Windows 10
  • Windows Server 2016

Se recomienda aplicar los últimos parches de seguridad que Microsoft publicó en los primeros días el junio:

  • KB4022725, parches de seguridad y de mantenimiento para Windows 10 Creators Update. Actualización acumulativa, instalando esta tendremos nuestro Windows con todos los parches instalados hasta la fecha.
  • KB4022726, parches de seguridad y de mantenimiento para Windows 8.1 y Windows Server 2012 R2. Actualización “Monthly Rollup” que funciona igual que las acumulativas de Windows 10.
  • KB4022717, parches de seguridad exclusivamente para Windows 8.1 y Windows Server 2012 R2. Esta actualización solo soluciona las vulnerabilidades de junio de 2017 en Windows 8.1, pero no incluye los parches de mantenimiento.
  • KB4022719, parches de seguridad y de mantenimiento para Windows 7 y Windows Server 2008. Actualización “Monthly Rollup” que incluye todos los parches de seguridad y correcciones publicadas hasta la fecha.
  • KB4022722, solo soluciona los parches de seguridad para Windows 7 y Windows Server 2008. Esta actualización no incluye los parches de mantenimiento incluidos en el parche anterior.

Se recomienda una vez más no pagar la recompensa.

En esta ocasión, son válidas también algunas recomendaciones que hiciéramos en alusión al ataque de Wannacry.

Como medidas de mitigación, se recomienda:

  • Aislar de la red los equipos infectados.
  • Bloquear la comunicación de los puertos 137/UDP y 138/UDP así como los puertos 139/TCP y 445/TCP en las redes de las organizaciones.
  • Bloquear el puerto 445 en borde de la red: Prevenir una entrada automática del ransom desde afuera de la red.
  • Bloquear el puerto 445 en tráfico interno de la red: Lo anterior interrumpirá el sistema de carpetas compartidas de windows (SMB).
  • Evitar abrir archivos y/o links de fuentes desconocidas ya sean recibidos por correo electrónico o descargados de sitios web no confiables.
  • Realizar respaldos de toda la información crítica para su empresa.