Los expertos de Kaspersky Lab han llamado ExPetr a la nueva variedad de malware cifrador responsable del reciente ataque a nivel global. Otros lo identifican como PetrWrap, Petya, etc. La diferencia principal con este nuevo ransomware es que los delincuentes han escogido sus objetivos con gran precisión y muchas de las víctimas son empresas, no consumidores.
Muchas instalaciones con infraestructura crítica están entre las víctimas de este malware. Por ejemplo, se ha informado de que algunos vuelos del aeropuerto de Kiev Boryspil han sufrido retrasos a causa del ataque, también se indicó que el sistema de monitorización de radiación de la planta nuclear de Chernobyl se vio afectado temporalmente por la misma razón.
Al igual que con WannaCry, tenemos dos problemas: la penetración inicial del malware en la infraestructura de una empresa y su proliferación en ella. Ambos problemas deben solucionarse separadamente.
Penetración inicial
Los expertos indican algunos caminos por los que el malware se infiltra en la red. En algunos casos, hizo uso de sitios web maliciosos, en otros los usuarios recibieron el malware como si se tratara de una actualización del sistema o de actualizaciones de software de terceros (por ejemplo mediante el software ucraniano M.E.Doc). Es decir, no existe un único punto de entrada predecible que proteger.
No obstante, existen algunas recomendaciones para prevenir que el malware penetre en la infraestructura:
- Instruir a los usuarios para no abrir archivos adjuntos sospechosos, ni tampoco dar clic en los enlaces incluidos en los correos electrónicos.
- Asegurarse que todos los sistemas conectados a Internet estén equipados con soluciones de seguridad actualizadas que incorporen componentes de análisis de comportamiento.
- Comprobar que los componentes importantes de las soluciones de seguridad están activos (en los productos de Kaspersky Lab, tanto la red Kaspersky Security Network como el motor de comportamiento System Watcher).
- Actualizar las soluciones de seguridad regularmente.
- Emplear herramientas para administrar y monitorear las soluciones de seguridad desde una única consola administrativa y verificar que los usuarios no tienen permitido modificar los ajustes.
Propagación en la red
Una vez que logra introducirse en un solo sistema, ExPetr se propagará mucho más rápido que WannaCry en una red local porque dispone de capacidades extensas para ese objetivo en concreto. En primer lugar, utiliza, al menos, dos exploits: un EternalBlue modificado (también usado por WannaCry) y EternalRomance (otro exploit del puerto TCP 445). En segundo lugar, cuando infecta un sistema en el que un usuario tiene privilegios de administrador, empieza a distribuirse mediante la herramienta de control remoto de sistemas PsExec.
Para prevenir que el malware acceda a la red, se puede considerar lo siguiente:
- Aislar los sistemas que requieren una conexión activa de Internet en otro segmento de red.
- Dividir la red sobrante en subredes o subredes virtuales con conexiones restringidas y conectar solo los sistemas que la requieran para procesos tecnológicos.
- Asegurarse que las actualizaciones de seguridad críticas de Windows están instaladas. Muy importante ya que la MS17-010 cierra las vulnerabilidades que utiliza EternalBlue y EternalRomance.
- Utilizar servidores de respaldo aislados del resto de la red y evitar la conexión con unidades remotas en los servidores de respaldo.
- Prohibir la ejecución del archivo llamado perfc.dat mediante el Control de Aplicaciones de Kaspersky Endpoint Security for Business o mediante Windows AppLocker.
- En sistemas que contengan múltiples sistemas integrados, utilizar soluciones de seguridad especializadas como Kaspersky Embedded Security Systems.
- Configura el modo de denegación por defecto como medida de protección adicional en los sistemas que sea posible (por ejemplo, en equipos con software que rara vez se modifique), lo que se puede realizar mediante el Control de aplicaciones incluido en Kaspersky Endpoint Security for Business.
En Adaptix Networks destacamos la importancia de implementar soluciones de seguridad integrales, con software y dispositivos para la protección de la red empresarial, software de seguridad para todos los equipos, generación de respaldos y copias de seguridad.
También puede consultar:
- Ataque masivo por ransomware WannaCry
- Se detiene ataque por ransomware WannaCry, pero en realidad no ha terminado
- Medidas ante ransomware