Professional Documents
Culture Documents
Seguridad Informática
Seguridad Informática
Un nuevo virus informático se propaga amenazando a miles de organizaciones y empresas en todo el mundo. Los sistemas del Banco
Central de Ucrania o la petrolera rusa Rosneft han sido comprometidos, al igual que varias multinacionales con presencia en Europa
central, Asia y los Estados Unidos.
En Ucrania y Rusia se concentra el mayor número de infecciones con un 60% y 30% de equipos afectados globalmente por el ciberataque
Petya será otro incidente mundial gracias a que las organizaciones no actualizan ni mantienen estándares de seguridad en sus
organizaciones.
Petya se divide en dos partes: la que pide el rescate y la que hace que se propague por las redes locales.
CONSIDERACIONES.
Una vez infectado el equipo, no se puede detener, no hay interruptor de la “muerte" en el equipo.
Lo peligroso del ransomware no es el código que cifra los ficheros y pide un rescate, sino el gusano que lo propaga y que usa
la vulnerabilidad EternalBlue dentro del sistema operativo Windows.
En lugar de cifrar los ficheros uno a uno como WannaCry, Petya reinicia el equipo de la víctima y cifra la tabla maestra de
archivos del disco duro y hace que la partición encargada de arrancar el sistema quede inutilizable al reemplazarlo con un
código que muestra el aviso del rescate.
INFECCION.
El ransomware fuerza un reinicio para ejecutar el código de arranque personalizado y comienza con el proceso de cifrado.
Los atacantes exigen $300 USD en bitcoins para descifrar los archivos del equipo infectado. Sin embargo, la cuenta de correo utilizada
para validar los pagos de la víctima ha sido deshabilitada por lo que la comunicación con los atacantes ya no es posible, dejando los
archivos cifrados prácticamente irrecuperables.
Este código malicioso se propaga a través de redes privadas utilizando el exploit EternalBlue y Double Pulsar, mismos que son usados
por WannaCry, con algunas modificaciones para evitar detección. Si los equipos en la red interna no utilizan SMBv1 o están
actualizados, el malware intenta recuperar credenciales de cuentas con privilegios administrativos, desde la memoria para propagarse a
otros equipos usando los componentes de Windows WMI o PSEXEC.
IMPACTO.
Debido al uso de exploits para la vulnerabilidad MS17-010 y de mecanismos adicionales para la propagación a través de la red, UNAM-
CERT considera un impacto alto.
SISTEMAS AFECTADOS
SOLUCIÓN.
Para evitar la propagación por la red mediante el exploit EternalBlue, actualizar a la brevedad. La vulnerabilidad de Windows fue
parchada por Microsoft en el mes de marzo de 2017.
Adicionalmente, se recomienda deshabilitar PsExec en los equipos que no lo requieran, así como la creación de un archivo con permisos
de solo lectura C:\Windows\perfc, para la creación de este archivo se requieren privilegios de administración. El código malicioso busca
ese archivo en el sistema; si existe, omite las instrucciones para identificar los archivos a cifrar y termina la ejecución.
Finalmente, si un equipo llega a ser infectado se forzará un reinicio y se mostrará una pantalla similar a la siguiente: