Av. San pablo 6442 Oficina 22 Lo Prado, Santiago.

Fono: (56 2) 8994397 / (56 2)8994302 / (56 2)8994342 info@netpoint.cl

No permitas que el ransomware ‘Nyetya’ afecte tus sistemas, Asegura tú red con nosotros!!!

El malware utiliza tres mecanismos de infección, incluyendo la misma vulnerabilidad explotada por su predecesor WannaCry y ha logrado afectar organizaciones en todo el mundo, no permitas que esto te afecte y asegura tu red.

Una nueva variante de malware comenzó a afectar ayer a múltiples organizaciones de todo el mundo. Talos (la división de inteligencia de ciber-seguridad de Cisco) la ha identificado como el ransomware ‘Nyetya’, al mantener diferencias con la variante Petya, Petrwrap o GoldenEye, como también se ha denominado.
El malware se comporta como un gusano extendiéndose lateralmente por la red afectada, al igual que WannaCry, el ransomware que infectó sistemas de todo el mundo en mayo. Sin embargo, a diferencia de WannaCry, de momento se propaga internamente y no escaneando Internet a través de componentes externos como el e-mail.
Infección y vías de propagación
Una vez entra en la red, Nyetya utiliza tres mecanismos para extenderse de forma automática: mediante la vulnerabilidad conocida como Eternal Blue (protocolo SMB de Microsoft) que ya fue explotada por WannaCry en mayo; Psexec, una herramienta legítima de administración de Windows; y WMI, un componente legítimo de Windows.
Esta nueva variante de ransomware cifra el MBR (Master Boot Record) del equipo infectado -algo similar a la lista de contenidos del disco duro- pidiendo un rescate en bitcoins a cambio de recuperar los datos cifrados.
Los análisis iniciales de Talos señalan que el ciber-ataque comenzó en Ucrania, posiblemente a través de una actualización de software para el programa de gestión de impuestos denominado MeDoc, utilizado por un gran número de organizaciones ucranianas o que tienen relación comercial con Ucrania. El ataque ha afectado también a organizaciones en España, Francia, Dinamarca, Reino Unido, Rusia y EE. UU.
 
Protección y recomendaciones
Las soluciones de seguridad de red de Cisco (Firepower NGFW, Firepower NGIPS y Meraki MX) ya tenían actualizadas las reglas (desde que se conoció la vulnerabilidad en abril) para detectar y detener esta actividad maliciosa en las conexiones SMB.
Igualmente, las soluciones de seguridad de protección frente a malware avanzado de Cisco (AMP, Advanced Malware Protection) también están actualizadas con la información sobre este ransomware para detectarlo y bloquearlo.
Las recomendaciones de Cisco para que las organizaciones puedan protegerse frente a cualquier variante de ransomware y otro tipo de malware son:
  • Asegurarse de utilizar sistemas operativos con soporte y actualizados, parcheando de forma efectiva los terminales.
  • Utilizar software anti-malware y recibir y aplicar las actualizaciones de forma regular.
  • Tener un plan de recuperación frente a desastres con copias de seguridad de datos off-line.
Cisco ya apuntaba en su Informe Semestral de Ciber-seguridad (julio 2016) que veríamos nuevas variantes de ransomware aún más destructivo capaz de extenderse por sí mismo (auto-replicarse) y secuestrar redes enteras. El Informe también señala que las cepas de ransomware modular podrán cambiar sus tácticas rápidamente para maximizar su eficacia. Por ejemplo, los futuros ataques de ransomware ocultarán su detección limitando el uso de CPU y evitando acciones ‘command-and-control’, extendiéndose con mayor rapidez.
 
Talos continúa investigando esta nueva infección. Puede accederse a las últimas informaciones a través de este blog.
Declaraciones de apoyo 
  • Eutimio Fernández, director de Seguridad en Cisco España: “En este mundo hiper-conectado, la cuestión no es si una organización será atacada, sino cuándo. Las organizaciones deben adoptar una defensa integrada en la red, que elimine la complejidad de las soluciones puntuales y capaz de auto-defenderse mediante herramientas automatizadas, operando bajo el modelo de detectar una vez y proteger en todas partes y durante todas las etapas de los ataques: antes, durante y después”.

Agregar un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *