Última actualización: 14:52

  1. Sistemas afectados

Equipos de trabajo y servidores con sistemas operativos Windows.

  1. Resumen

A nivel mundial (12 países), en las últimas horas se ha detectado una nueva variante de Ransomware (Petwrap) que se propaga rápidamente, provocando la perdida y cifrado de diversos archivos almacenados en los equipos de cómputo. Llegando a la histórica cifra de 300,000 equipos infectados en las últimas 72 horas.

Dicha vulnerabilidad está identificada y documentada como CVE-2017-0199.

  • Descripción

El ataque se aprovecha de una vulnerabilidad de seguridad documentada por Microsoft en el boletín MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx) liberado el pasado 17 de marzo del 2017, esta vulnerabilidad afecta a los equipos que no tienen las últimas actualizaciones de seguridad, dicha la vulnerabilidad radica en permitir la ejecución remota de código de Windows SMB. En la mayoría de los casos la variante de Ransomware conocida como “Petwrap” o “Petya2” está siendo distribuida por correo electrónico a través de correo spam.

Un grupo de hacker llamado “Shadow Brokers”, comentó que obtuvo la información de cómo aprovechar esta vulnerabilidad de los documentos del programa de espionaje de la NSA (National Security Agency). Esta vulnerabilidad fue denominada por la Agencia como “ETERNALBLUE” y permite acceso a prácticamente cualquier equipo con sistema operativo Windows que emplee algún protocolo de red para compartir archivos.

En los incidentes de seguridad del día de hoy relacionados con Petwrap, se trata de un ejecutable de ransomware que incluye funcionalidades de dañar y reiniciar el sistema. Simula una revisión de disco, y al terminar, deja al equipo en estado inservible.

En la mayoría de los casos ocurridos el día de hoy, la infección comienza con un correo electrónico phishing, el cual incluye una URL maliciosa o un archivo adjunto, el cual infecta el equipo.

  1. Impacto

Esta vulnerabilidad afecta directamente a la disponibilidad de la información y de los sistemas que la almacenan, procesan y transmiten.

Afectación a los siguientes sistemas operativos:

<justified;»>Windows Vista, Windows 7, Windows 8.1, Windows RT 8.1, Windows 10 Windows Server 2008 y Windows Server 2008 R2, Windows Server 2012 y Windows Server 2012 R2, Windows Server 2016 y Server Core installation option.

Afectación en 12 países.

  1. Soluciones

Prevención:

  • Aplicar de forma inmediata los parches de seguridad a los equipos con sistemas operativos Windows, descritos en el boletín MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
    • Si no es posible parchar el sistema (por ejemplo, para Windows Server 2003), considerar la segmentación de la red.
  • Respaldar la información crítica.
  • Evitar sitios peligrosos en la web.
  • Educar a los usuarios para detectar posibles ataques cibernéticos perpetrados a través de correos electrónicos de phishing, banners infectados, correos electrónicos no deseados, intentos de ingeniería social, etc.
  • Restringir el tráfico del puerto 445/TCP y permitirlo en donde sea absolutamente necesario, como por ejemplo las ACLs (Access Control List) de los routers.
  • Usar y configurar Firewalls basados en host para limitar la comunicación en el puerto 445/TCP, especialmente comunicaciones entre Workstations.
  • Instalar una solución antivirus que no se base en firmas y que tenga la capacidad de proteger al equipo de ATPs y amenazas de día cero para las cuales no hay una firma de malware conocida (Una solución puede ser Cylance: https://www.cylance.com/en_us/home.html ).

Contención:

  • En caso de infección, aislar el equipo de internet para evitar la propagación a la red interna.
  • Aplicar respaldos de los activos críticos.

Nota: Actualmente no existe una llave pública para descifrar el Ransomware.

Indicadores de compromiso

Monitorear tráfico de la siguiente red:

hxxp://pranavida.cl/director/tasks.php

hxxps://5.101.4.41/panel/tasks.php

hxxps://5.101.4.41/updatepanel/tasks.php

hxxp://jkentnew.5gbfree.com/p/tasks.php

hxxp://124.217.247.72/tasks.php

hxxp://combee84.com/js/css/tasks.php

hxxp://nut29.xsayeszhaifa.bit/newfiz29/logout.php

hxxp://nut29.nsbacknutdoms11war.com/newfiz29/logout.php

hxxp://jbbrother.com/jbb/meaca/obc/pn/tasks.php

hxxp://ns1.posnxqmp.ru/PANEL/tasks.php

hxxp://nut25.nsbacknutdoms11war.com/newfiz25/logout.php

hxxp://propertiesofseyshellseden.com/newfiz21/logout.php

hxxp://n31.propertiesofseyshellseden.com/newfiz31/logout.php

hxxp://propertiesofseyshellseden.com/newfiz21/logout.php

hxxp://n31.propertiesofseyshellseden.com/newfiz31/logout.php

Ejemplo de un equipo afectado.

Pantalla de equipos infectados en Fase 1

Pantalla de equipos infectados en Fase 2

Actualización (14:52):

Si la computadora se reinicia de forma inmediata y aparece el siguiente mensaje:

Apagar de inmediato, ya que ese mensaje es el proceso de Cifrado y con eso se puede detener el Ransomware.

  1. Referencias

http://thehackernews.com/2017/06/petya-ransomware-attack.html

https://hipertextual.com/2017/06/ataque-de-ransomware

https://www.adslzone.net/2017/06/27/wannacry-2-0-el-ransomware-petya-ataca-nuevas-empresas-de-espana-y-europa/