Site icon Sophos News

Variantes de Petya detrás de una epidemie de ransomware global

Nota del editor: Los clientes de Sophos pueden seguir las actualizaciones técnicas de este artículo de Knowledge Base, que incluye una lista de las variantes que detectamos y bloqueamos. Este artículo también se actualizará a medida que surjan nuevos detalles.

SophosLabs ha determinado que las nuevas variantes de Petya ransomware (también conocido como GoldenEye) están detrás del enorme brote en línea que se extendió por Europa, Rusia, Ucrania y otros lugares hoy. Otros en el sector de la seguridad lo llaman PetrWrap.

Lo que hace diferente la nueva amenaza es que ahora incluye el exploit de EternalBlue como una forma de propagarse dentro de una red de destino. La vulnerabilidad ataca el servicio Bloqueo de mensajes de Windows Server (SMB), que se utiliza para compartir archivos e impresoras en redes locales. Microsoft abordó el tema en su boletín MS17-010 en marzo, pero la hazaña demostró ser fundamental en la propagación del mes pasado de WannaCry.

Petya también intenta propagarse internamente al romper contraseñas de administrador e infectar a otras PCs en la red usando herramientas de administración remota. También puede propagarse internamente infectando los recursos compartidos de red en otros equipos.

Lo hace al ejecutar código de robo de credenciales para romper contraseñas de cuentas de usuario e implementar ransomware. Para infectar equipos remotos, viene incluido con una herramienta de administración remota legítima llamada PsExec de la suite SysInternals de Microsoft.

Protección de Sophos

Los clientes que utilizan Sophos Endpoint Protection están protegidos contra todas las variantes recientes de este ransomware. Primero emitimos protección el 27 de junio a las 13:50 UTC y hemos proporcionado varias actualizaciones desde entonces para proteger aún más contra posibles variantes futuras.

Además, los clientes que utilizaban Sophos Intercept X estaban protegidos proactivamente sin datos cifrados desde el momento en que apareció esta nueva variante de ransomware.

Además de eso, los clientes pueden optar por restringir el uso de PsExec y otras herramientas administrativas de doble uso en su red. Sophos Endpoint Protection proporciona detección PUA para psexec y otros programas de administración remota que no necesitan estar disponibles en cada PC y cada usuario.

Medidas defensivas

Esto es lo que le pedimos que haga ahora mismo:

Para evitar ataques cibernéticos que ingresen por correo electrónico, consulte:

Traducido de blog por Bill Brenner
Exit mobile version