A continuación el comunicado que lanzó Unit 42 de Palo Alto Networks referente al Ransomware Petya
¿Qué sucedió?
El 27 de junio del 2017, el ransomware Petya comenzó a impactar a varias organizaciones, incluyendo a gobiernos y a operadores de infraestructura crítica. El ataque parece propagarse de manera similar a los ataques WanaCrypt0r/WanaCry(propagados en mayo del 2017), probablemente utilizando al exploit ETERNALBLUE para penetrar la red a través del protocolo SMB de Microsoft Windows.
Los clientes de Palo Alto Networks fueron protegidos automáticamente contra los ataques de Petya a través de protecciones creadas, entregadas, y aplicadas a través de múltiples elementos de nuestra Plataforma de Seguridad de Nueva Generación.
¿Cómo funciona el ataque?
Aunque aun no se tiene una certeza del vector de inicial de infección, este ransomware probablemente intenta propagarse a otros hosts utilizando el protocolo SMB mediante la explotación de la vulnerabilidad ETERNALBLUE (CVE-2017-0144) en sistemas Microsoft Windows.
Esta vulnerabilidad fue divulgada públicamente por el grupo “Shadow Brokers” en abril del 2017, la cual fue abordada por Microsoft en marzo del 2017 con la actualización de seguridad MS17-010. Una vez que una infección ha ocurrido con éxito, el malware cifra los sistemas de los usuarios, y solicita un pago de $300 USD para devolver el acceso.
Para un análisis detallado sobre la forma de operar de Petya, lo invitamos a leer el blog realizado por nuestro equipo de investigación de amenazas, Unit 42.
Prevenciones proporcionadas por Palo Alto Networks
Los clientes de Palo Alto Networks están protegidos a través de nuestra Plataforma de Seguridad de Nueva Generación, la cual opera bajo un enfoque basado en la prevención, que puede detener automáticamente a las amenazas a lo largo del ciclo de vida del ataque. Los clientes de Palo Alto Networks se han protegido automáticamente del ransomwar a través de múltiples controles complementarios de prevención por medio de nuestra Plataforma de Seguridad, incluyendo:
• WildFire clasifica a todas las muestras conocidas como malware, bloqueando automáticamente el contenido malicioso de ser entregado a los usuarios.
• AutoFocus rastrea y caza el ataque a través de un análisis de amenazas, por medio del tag Petya.
• Threat Prevention
-
Impone firmas IPS (contenido liberado: 688-2964) para detener el exploit de la vulnerabilidad (CVE-2017-0144 – MS17-010) muy probablemente utilizada en este ataque.
-
Bloquea la actividad maliciosa mediante las firmas “Virus/Win32.WGeneric.mkldr” y “Virus/Win32.WGeneric.mkknd”.
• GlobalProtect extiende las protecciones de WildFire para asegurar una cobertura consistente, tanto para usuarios remotos, como para ubicaciones remotas.
Recomendamos fuertemente que todos los usuarios de Windows aseguren que tengan instalados a los últimos parches disponibles de Microsoft, incluidas las versiones de software que ya hayan dejado de contar con soporte.
¿Te interesa conocer más de esta Solución NextGen? da click en la siguiente imagen y obtén una demo completamente GRATIS
{{cta(‘2387ceba-d711-44ee-b97f-18af48da3046’)}}