Nueva oleada de ransomware afectando a múltiples equipos

Fecha de publicación: 
27/06/2017
Importancia: 
5 - Crítica
Recursos afectados: 

Equipos con sistemas Windows.

Descripción: 

Se está produciendo una infección de equipos con sistemas Windows en diferentes organizaciones. El malware responsable es de tipo ransomware y pertenece a la familia conocida como Petya o Petrwrap. Una vez que compromete el sistema solicita el pago de 300 dólares.

Solución: 

Se recomienda tomar las siguientes medidas preventivas:

  • Establecer políticas de seguridad y seguir pautas de actuación como las que se indican en la sección Protege tu empresa :
    • Mantener sus equipos actualizados tanto su sistema operativo como otro software instalado.
    • No abrir ficheros descargados de Internet o recibidos por correo electrónico de fuentes no confiables.
    • Realizar copias de seguridad de sus ficheros.
  • Utilizar el principio de mínimo privilegio en todos los sistemas.
  • En la medida de lo posible, bloquear el tráfico de los puertos TCP 135, 445, 1024-1035.
  • Bloquear la ejecución de ficheros en rutas como por ejemplo %AppData% o %Temp%.
  • Mantenerse al tanto de las últimas informaciones que puedan publicarse sobre esta oleada.

En el aviso publicado en la web del CERTSI, se encuentran los indicadores de compromiso.

En caso de verse afectado puede contactar con el CERTSI para recibir ayuda a través de los siguientes canales:

  • Operadores estratégicos y de infraestructuras críticas del sector privado: a través de la dirección de correo electrónico 
  • Ciudadanos y empresas: a través de la OSI (www.osi.es y el teléfono 901111121) y de la dirección de correo electrónico 
Detalle: 

La infección se está produciendo a través de equipos con sistemas operativo Windows y, según confirman diferentes fuentes, está teniendo impacto alto en Ucrania.

El malware, perteneciente a la familia conocida como Petya o Petrwrap, es de tipo ransomware.

Las investigaciones apuntan a que utiliza dos vías de propagación:

  • PsExec, en el caso de que el equipo afectado tenga permisos de administración.
  • Windows Management Instrumentation Command-line (WMIC), en el caso de que haya sido capaz de obtener credenciales en memoria mediante una herramienta similar a Mimikatz o LSADump.
  • Vulnerabilidad conocida como EternalBlue, MS17-010.

Cuando el malware compromete un sistema comprueba si tiene permisos de administración sobre el mismo. En el caso de que sea así, cifra el sector de arranque (MBR) impiendo el acceso al dispositivo. En caso contrario, comienza a cifrar determinados ficheros usando el estándard de encriptación AES-128.

Una vez que infecta el equipo, eliminado los eventos de sistema y crea una tarea para reiniciarlo al cabo de una hora. Una vez reiniciado solicita un pago de 300 dólares mediante bitcoins para poder recuperar la información.

Ransomware Petya

El impacto en España está bajo estudio. Desde el CERTSI, se está en permanente contacto con las empresas de ciberseguridad y prestando soporte a empresas en España que pudieran verse afectadas. Por el momento, el malware está teniendo un impacto bajo y no ha afectado a ningún servicio esencial. En cualquier caso, recomendamos seguir las pautas indicados en el apartado "Solución" con el fin de prevenir la infección.

Etiquetas: