viernes, 30 de junio de 2017

¿Se llama Petya, NotPetya, GoldenEye, ExPetr o PetrWrap?


Forcepoint Security Labs seguirá refiriéndose a éste ataque como Petya, aunque otros proveedores han decidido darle distintos nombres.

En términos llanos, las muestras analizadas han pasado el ‘test del pato’ (https://en.wikipedia.org/wiki/Duck_test) como Petya, las cuales han realizado antes las siguientes acciones:

Encriptar archivos en el disco sin cambiar la extensión del archivo;
Reiniciar la máquina cuando se infecta;
Encriptar el Master Boot Record (registro de arranque principal) de las máquinas infectadas;
Presentar una pantalla CHKDSK falsa como la portada del proceso de encripción; y
Mostrar una pantalla casi idéntica en la que se exige el rescate después de completar sus actividades.
Si bien en este caso los mecanismos de propagación y de movimiento lateral son muy raros, parece razonable que el código del ransomware sea una variante de Petya vinculada a un novedoso método de propagación.

¿Se debe pagar el rescate que pide Petya?

Recomendamos no pagar el rescate. Ya no existe un mecanismo para darle a la víctima la llave de desencripción cuando paga el rescate pues se ha desactivado el correo electrónico para comunicarse con el atacante. Incluso si la víctima paga el rescate con Bitcoin, ahora el atacante no tiene manera de compartir la llave.

Es mucho más complicado obtener los archivos que no se han encriptado, aunque pronto podrían estar disponibles herramientas de desencripción de terceros.

Ocasionalmente una empresa podría decidir pagar el rescate, pero en el caso de Petya no vale la pena.

Vector de Infección y Protección

Microsoft reportó que se cree que el vector de infección inicial fue código malicioso que se hizo pasar como una actualización de software legítima. Debido a la relación confiable asociada con las actualizaciones de software automáticas, son pocas las probabilidades de que la protección perimetral detecte este vector.

Esta es una desviación importante de cómo se propaga la mayoría del ransomware: esta interación de Petya evita que los gateways de seguridad web o del correo electrónico utilicen vectores de comunicación seguros.

Las muestras que se analizaron intentaron moverse lateralmente dentro de las redes usando credenciales que fueron robadas de las máquinas de las víctimas junto con una combinación de comandos PSEXEC y WMIC, y mediante el uso de las vulnerabilidades de SMBv1. Hasta ahora, no se ha observado que las muestras estén intentando propagarse a otras organizaciones; este comportamiento se limita a las redes locales.

Sin embargo, el movimiento entre las redes confiables usando credenciales administrativas robadas válidas en las redes fuente y destino parece viable. Por ahora no está claro si las organizaciones que tienen cierto nivel de confianza entre sus redes y las de una organización externa (por ejemplo, un proveedor de servicios administrados) tienen un alto grado de exposición o no.

En general, la naturaleza de Petya no ha provocado gran sorpresa entre los investigadores de Forcepoint Security Labs: en octubre de 2016 Forcepoint Security Labs advirtió en el reporte Freeman sobre los peligros de las actualizaciones de software maliciosas que se estaban distribuyendo a través de los mecanismos automáticos de actualización de software. Mostrando similitudes importantes con el vector de infección inicial utilizado para distribuir el ransomware Petya, nuestro reporte documentó los peligros que una actualización de software maliciosa tenía para una herramienta de análisis de código legítima.

Recomendamos tener cuidado con los terceros que llevan las actualizaciones de software a su entorno y tratar de averiguar qué software abandonado (‘abandonware’) podría seguir ejecutándose y aceptando actualizaciones.

Como se confirmó el 27 de junio de 2017, cuando inició la propagación de este ransomware, Forcepoint NGFW es capaz de detectar y bloquear el uso de la explotación de SMB que utiliza este ataque para los clientes que utilizan Forcepoint NGFW en sus redes.

Si se lanzara una campaña secundaria a través de un sitio web comprometido o de correo electrónico malicioso, Forcepoint Web Security and Email Security puede detectar y proteger contra esta nueva amenaza.

+++

No hay comentarios:

Publicar un comentario