Seguridad informática.

Alerta por ransomware Petya

Fecha liberación: 
28/06/2017
Fuente: 
US-CERT
Riesgo: 
Alto
DESCRIPCIÓN

Un nuevo virus informático se propaga amenazando a miles de organizaciones y empresas en todo el mundo. Los sistemas del Banco
Central de Ucrania o la petrolera rusa Rosneft han sido comprometidos, al igual que varias multinacionales con presencia en Europa
central, Asia y los Estados Unidos.

En Ucrania y Rusia se concentra el mayor número de infecciones con un 60% y 30% de equipos afectados globalmente por el ciberataque

Petya será otro incidente mundial gracias a que las organizaciones no actualizan ni mantienen estándares de seguridad en sus
organizaciones.

Petya se divide en dos partes: la que pide el rescate y la que hace que se propague por las redes locales.

CONSIDERACIONES.

 Una vez infectado el equipo, no se puede detener, no hay interruptor de la “muerte" en el equipo.

 Lo peligroso del ransomware no es el código que cifra los ficheros y pide un rescate, sino el gusano que lo propaga y que usa
la vulnerabilidad EternalBlue dentro del sistema operativo Windows.

 En lugar de cifrar los ficheros uno a uno como WannaCry, Petya reinicia el equipo de la víctima y cifra la tabla maestra de
archivos del disco duro y hace que la partición encargada de arrancar el sistema quede inutilizable al reemplazarlo con un
código que muestra el aviso del rescate.

INFECCION.

El ransomware fuerza un reinicio para ejecutar el código de arranque personalizado y comienza con el proceso de cifrado.

Los atacantes exigen $300 USD en bitcoins para descifrar los archivos del equipo infectado. Sin embargo, la cuenta de correo utilizada
para validar los pagos de la víctima ha sido deshabilitada por lo que la comunicación con los atacantes ya no es posible, dejando los
archivos cifrados prácticamente irrecuperables.

Este código malicioso se propaga a través de redes privadas utilizando el exploit EternalBlue y Double Pulsar, mismos que son usados
por WannaCry, con algunas modificaciones para evitar detección. Si los equipos en la red interna no utilizan SMBv1 o están
actualizados, el malware intenta recuperar credenciales de cuentas con privilegios administrativos, desde la memoria para propagarse a
otros equipos usando los componentes de Windows WMI o PSEXEC.

IMPACTO.

Debido al uso de exploits para la vulnerabilidad MS17-010 y de mecanismos adicionales para la propagación a través de la red, UNAM-
CERT considera un impacto alto.

SISTEMAS AFECTADOS

Microsoft Windows Vista SP2

Windows Server 2008 SP2 and R2 SP1
Windows XP
Windows 7
Windows 8.1
Windows RT 8.1
Windows Server 2012 and R2
Windows 10
Windows Server 2016

SOLUCIÓN.
Para evitar la propagación por la red mediante el exploit EternalBlue, actualizar a la brevedad. La vulnerabilidad de Windows fue
parchada por Microsoft en el mes de marzo de 2017.

Adicionalmente, se recomienda deshabilitar PsExec en los equipos que no lo requieran, así como la creación de un archivo con permisos
de solo lectura C:\Windows\perfc, para la creación de este archivo se requieren privilegios de administración. El código malicioso busca
ese archivo en el sistema; si existe, omite las instrucciones para identificar los archivos a cifrar y termina la ejecución.

Finalmente, si un equipo llega a ser infectado se forzará un reinicio y se mostrará una pantalla similar a la siguiente:

Es preciso desconectar el cable de poder inmediatamente. En este punto aún

no se cifran los archivos por lo que es posible recuperarlos con un Live CD.
 
RECOMENDACIONES.

- Actualizar a la brevedad para evitar la infección.

- Aislar la comunicación a los puertos 137 y 138 UDP y puertos 139 y 445 TCP en las redes
privadas.
- Desconectar de la red los equipos infectados.
- Deshabilitar PsExec en los equipos que no lo requieran, al restringir los privilegios de
administración local a los usuarios del sistema.
- No realizar los pagos exigidos por el atacante.
- Realizar respaldo de la información.