Forcepoint
Security Labs seguirá refiriéndose a éste ataque como Petya, aunque otros
proveedores han decidido darle distintos nombres.
En
términos llanos, las muestras analizadas han pasado el ‘test del pato’
(https://en.wikipedia.org/wiki/Duck_test) como Petya, las cuales han realizado
antes las siguientes acciones:
Encriptar
archivos en el disco sin cambiar la extensión del archivo;
Reiniciar
la máquina cuando se infecta;
Encriptar
el Master Boot Record (registro de arranque principal) de las máquinas
infectadas;
Presentar
una pantalla CHKDSK falsa como la portada del proceso de encripción; y
Mostrar
una pantalla casi idéntica en la que se exige el rescate después de completar
sus actividades.
Si
bien en este caso los mecanismos de propagación y de movimiento lateral son muy
raros, parece razonable que el código del ransomware sea una variante de Petya
vinculada a un novedoso método de propagación.
¿Se
debe pagar el rescate que pide Petya?
Recomendamos
no pagar el rescate. Ya no existe un mecanismo para darle a la víctima la llave
de desencripción cuando paga el rescate pues se ha desactivado el correo
electrónico para comunicarse con el atacante. Incluso si la víctima paga el
rescate con Bitcoin, ahora el atacante no tiene manera de compartir la llave.
Es
mucho más complicado obtener los archivos que no se han encriptado, aunque
pronto podrían estar disponibles herramientas de desencripción de terceros.
Ocasionalmente
una empresa podría decidir pagar el rescate, pero en el caso de Petya no vale
la pena.
Vector
de Infección y Protección
Microsoft
reportó que se cree que el vector de infección inicial fue código malicioso que
se hizo pasar como una actualización de software legítima. Debido a la relación
confiable asociada con las actualizaciones de software automáticas, son pocas
las probabilidades de que la protección perimetral detecte este vector.
Esta
es una desviación importante de cómo se propaga la mayoría del ransomware: esta
interación de Petya evita que los gateways de seguridad web o del correo
electrónico utilicen vectores de comunicación seguros.
Las
muestras que se analizaron intentaron moverse lateralmente dentro de las redes
usando credenciales que fueron robadas de las máquinas de las víctimas junto
con una combinación de comandos PSEXEC y WMIC, y mediante el uso de las
vulnerabilidades de SMBv1. Hasta ahora, no se ha observado que las muestras
estén intentando propagarse a otras organizaciones; este comportamiento se
limita a las redes locales.
Sin
embargo, el movimiento entre las redes confiables usando credenciales
administrativas robadas válidas en las redes fuente y destino parece viable.
Por ahora no está claro si las organizaciones que tienen cierto nivel de
confianza entre sus redes y las de una organización externa (por ejemplo, un
proveedor de servicios administrados) tienen un alto grado de exposición o no.
En
general, la naturaleza de Petya no ha provocado gran sorpresa entre los
investigadores de Forcepoint Security Labs: en octubre de 2016 Forcepoint
Security Labs advirtió en el reporte Freeman sobre los peligros de las
actualizaciones de software maliciosas que se estaban distribuyendo a través de
los mecanismos automáticos de actualización de software. Mostrando similitudes
importantes con el vector de infección inicial utilizado para distribuir el
ransomware Petya, nuestro reporte documentó los peligros que una actualización
de software maliciosa tenía para una herramienta de análisis de código
legítima.
Recomendamos
tener cuidado con los terceros que llevan las actualizaciones de software a su
entorno y tratar de averiguar qué software abandonado (‘abandonware’) podría
seguir ejecutándose y aceptando actualizaciones.
Como
se confirmó el 27 de junio de 2017, cuando inició la propagación de este
ransomware, Forcepoint NGFW es capaz de detectar y bloquear el uso de la
explotación de SMB que utiliza este ataque para los clientes que utilizan
Forcepoint NGFW en sus redes.
Si
se lanzara una campaña secundaria a través de un sitio web comprometido o de
correo electrónico malicioso, Forcepoint Web Security and Email Security puede
detectar y proteger contra esta nueva amenaza.
+++
No hay comentarios:
Publicar un comentario