Variantes de Petya detrás de una epidemie de ransomware global

Sophos News

Lo que sabemos hasta ahora sobre el brote de Ransomware de Petya

Nota del editor: Los clientes de Sophos pueden seguir las actualizaciones técnicas de este artículo de Knowledge Base, que incluye una lista de las variantes que detectamos y bloqueamos. Este artículo también se actualizará a medida que surjan nuevos detalles.

SophosLabs ha determinado que las nuevas variantes de Petya ransomware (también conocido como GoldenEye) están detrás del enorme brote en línea que se extendió por Europa, Rusia, Ucrania y otros lugares hoy. Otros en el sector de la seguridad lo llaman PetrWrap.

Lo que hace diferente la nueva amenaza es que ahora incluye el exploit de EternalBlue como una forma de propagarse dentro de una red de destino. La vulnerabilidad ataca el servicio Bloqueo de mensajes de Windows Server (SMB), que se utiliza para compartir archivos e impresoras en redes locales. Microsoft abordó el tema en su boletín MS17-010 en marzo, pero la hazaña demostró ser fundamental en la propagación del mes pasado de WannaCry.

Petya también intenta propagarse internamente al romper contraseñas de administrador e infectar a otras PCs en la red usando herramientas de administración remota. También puede propagarse internamente infectando los recursos compartidos de red en otros equipos.

Lo hace al ejecutar código de robo de credenciales para romper contraseñas de cuentas de usuario e implementar ransomware. Para infectar equipos remotos, viene incluido con una herramienta de administración remota legítima llamada PsExec de la suite SysInternals de Microsoft.

Protección de Sophos

Los clientes que utilizan Sophos Endpoint Protection están protegidos contra todas las variantes recientes de este ransomware. Primero emitimos protección el 27 de junio a las 13:50 UTC y hemos proporcionado varias actualizaciones desde entonces para proteger aún más contra posibles variantes futuras.

Además, los clientes que utilizaban Sophos Intercept X estaban protegidos proactivamente sin datos cifrados desde el momento en que apareció esta nueva variante de ransomware.

Además de eso, los clientes pueden optar por restringir el uso de PsExec y otras herramientas administrativas de doble uso en su red. Sophos Endpoint Protection proporciona detección PUA para psexec y otros programas de administración remota que no necesitan estar disponibles en cada PC y cada usuario.

Medidas defensivas

Esto es lo que le pedimos que haga ahora mismo:

  • Asegúrese de que los sistemas tengan los últimos parches, incluido el del boletín MS17-010 de Microsoft.
  • Considere el bloqueo de la herramienta Microsoft PsExec de ejecutarse en los equipos de los usuarios. Una versión de esta herramienta se utiliza como parte de otra técnica utilizada por Petya para difundir automáticamente. Puede bloquearlo usando un producto como Sophos Endpoint Protection.
  • Realice copias de seguridad regularmente y guarde una copia de seguridad reciente fuera del sitio. Hay docenas de maneras diferentes de ransomware que los archivos pueden desaparecer repentinamente, como incendio, inundación, robo, una computadora portátil caída o incluso una eliminación accidental. Cifre su copia de seguridad y no tendrá que preocuparse por el dispositivo de copia de seguridad caer en manos equivocadas.
  • Evite abrir archivos adjuntos en correos electrónicos de destinatarios que no conozca, incluso si trabaja en recursos humanos o cuentas y utiliza adjuntos mucho en su trabajo.
  • Descargue la versión de prueba gratuita de Sophos Intercept X y, para usuarios domésticos (no comerciales), regístrese para la versión gratuita de Sophos Home Premium Beta, que evita el ransomware al bloquear el cifrado no autorizado de archivos y sectores en su disco duro.

Para evitar ataques cibernéticos que ingresen por correo electrónico, consulte:

Traducido de blog por Bill Brenner

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.