Blog Ciberseguridad

Ciberataque mundial NotPetya qué sabemos y cómo protegernos

petya_virus

Ha vuelto a ocurrir, ayer 27 de junio se produjo otro ataque masivo de ransomware a escala global parecido al del pasado mes de mayo que ha puesto en jaque a algunas de las mayores empresas del mundo. Ya sabíamos que el ransomware de Wannacry no era sino el principio de otras oleadas que se sucederían paulatinamente. Y ahora ha llegado un nuevo ataque con origen al parecer en Ucrania y Rusia.

Lo que sabemos hasta ahora:

  • Básicamente, vuelve a utilizar la vulnerabilidad de SMB explotada por EternalBlue y que se parchea con el  MS17-010.
  • Como novedad, también tiene como vector de entrada correos electrónicos con adjuntos de Office (Excel y Word) que infectan maquinas vulnerables a la vulnerabilidad de Office descrita enCVE-2017-0199
  • Además, aprovecha técnicas de movimiento lateral dentro de la organización incluso sobre máquinas completamente parcheadas. Si una máquina con credenciales de administrador se infecta, utiliza PsExec y WMIC para infectar al resto de las máquinas del dominio.
  • También se ha comentado que se han asaltado redes de organizaciones en Ucrania y se han infectado las máquinas de forma explícita, pero es la única noticia por ahora de esta vía de entrada

Vectores de ataque y detalles de funcionamiento

 

vectores de ataque_ransomware

¿Cómo protegernos?

La respuesta es igual que con Wannacry: teniendo los sistemas operativos parcheados adecuadamente (Las dos vulnerabilidades principales fueron parcheadas en Marzo y Abril respectivamente, por Microsoft). Además:

  1. Formación y concienciación a los usuarios para que no abran correos de remitentes desconocidos
  2. Deshabilitar WMI y Powershell en todos los equipos, al menos temporalmente, para asegurarnos la protección total si no estamos seguros de que todos los equipos de la organización (fuera y dentro del perímetro de seguridad) están parcheados frente a EternalBlue.

Por último, como línea de última defensa, podemos avisar a los usuarios de que si su máquina se reinicia y aparece la siguiente pantalla:

Pantalla_negra_#NotPetya

¡Debemos desconectar o apagar inmediatamente el ordenador! Esa pantalla falsea la información de una herramienta legítima de Windows, chkdsk, pero en realidad es el proceso de encriptación local, en menos de 10 minutos, de media, mientras la pantalla está visible encriptará todo el disco duro. Si se apaga el sistema inmediatamente y no lo encendemos más, al menos habremos salvado (casi) todos los datos del disco o discos locales. Si no se apaga, cuando termina de encriptar todo el disco aparece el siguiente mensaje:

Pantalla_negra_rojo_#NotPetya

Y Game Over…

Seguiremos actualizando la información si se producen novedades.

Si estás leyendo esta entrada de blog y piensas que puedes tener un problema de seguridad en tu organización ponte en contacto con nuestro Equipo de Ciberseguridad.

Un saludo.

Autor: Enrique Villa Crespo, Director de Ingeniería de Cliente de Wellness Telecom.

Enrique Villa