Ransomware archivos -

Nueva tendencia de Ransomware: publicar datos

Publicado por ivettecastro01 en 24 febrero, 202019 mayo, 2020en ataques cibernéticos, RansomwareDeja un comentario

Una actual tendencia para los creadores de Ransomware es publicar datos robados de las empresas, si estas se niegan a pagar el rescate.

Una de las medidas de protección más efectiva y ardua es la creación de copias de seguridad en contra del Ransomware de cifrado. Los cibercriminales siendo creadores de varios programas de Ransomware ante la negativa del rescate por parte de la empresa, han optado por filtrar los datos confidenciales de las víctimas en línea.

La publicación de datos confidenciales en línea es una manera de cumplir la amenaza de los cibercriminales.

El primer caso de Ransomware fue hacía Maze donde se cumplió la amenaza de divulgación de dicha información confidencial.

En el caso de Maze el cibercriminal cumplió sus amenazas a finales del 2019, más de una vez.En noviembre pasado, Allied Universal se rehusó a pagar el rescate al cual los cibercriminales filtraron en línea 700MB de datos, en donde incluían contratos, convenios de terminación, certificados digitales, etc. Cumpliendo también en diciembre del mismo año, donde se creó un sitio web en donde se publicó el nombre de las diferentes empresas atacadas, fechas de infección, cantidades robadas, direcciones IP y nombre de servidores infectados. Se publicaron online un total de 2GB de archivos.

Afirmando dichos cibercriminales que la información se publicó para comprobar las amenazas de publicación de información.

No solo se habla de un simple Ransomware

La capacidad que tiene el Ransomware en un robo de datos no debería de sorprender, actualmente las empresas reconocen la necesidad de crear copias de seguridad de la información.

Creando un momento preocupante ya que las copias de seguridad ya no están ofreciendo una defensa en contra de los ciberataques.

¿Cómo tener una protección de confianza ante el Ransomware?

Debemos tener en mente que este tipo de ataques apenas están ganando impulso, se necesita mantener protegido en contra de las ciber amenazas. Lo que no solo significa el daño en la reputación de la empresa sino también la divulgación no autorizada de los secretos comerciales. elevadas.

Te recomendamos algunos consejos para obtener una efectiva ciberseguridad:

Concientización acerca de la seguridad de la información entre empleados. Un personal bien informado acerca del tema de ciberseguridad es menor la probabilidad de que ellos sean víctimas de algún phishing u otras técnicas de ingeniería social.
Actualización del sistema operativo y del software, especialmente con la identificación de vulnerabilidades que permitan acceso y control no autorizado en el sistema.
La utilización de una solución de protección especializada en contra del Ransomware.

Nuevo ransomware que afecta a Windows, usando la CPU para esconderse

Publicado por ivettecastro01 en 11 julio, 201919 mayo, 2020en Hacking, Malware, phishing, RansomwareDeja un comentario

Un nuevo ransomware de cifrado llamado Sondin ataca a Windows, esto a través de una actividad de explotación de vulnerabilidad de día cero.

Una vez que el sistema se encuentra infectado se toman privilegios elevados, con la finalidad de aprovechar la arquitectura de la Unidad Central de Procesamiento, evitando así su detección.

La compañía de ciberseguridad Kaspersky quien descubrió el ransomware, afirma que la funcionalidad del uso de la arquitectura de la CPU es poco inusual en este tipo de virus y además suele no necesitar la interacción con el usuario, basta con instalarse en servidores vulnerables.

Lamentablemente el cifrado, bloqueo de datos o dispositivos que involucra dinero es una ciberamenaza prologada que afecta tanto a individuos como a las propias organizaciones.

Aun cuando existen soluciones eficientes para detectar este tipo de amenazas, el Sodin cuenta con un enfoque sofisticado que se vale de privilegios especiales con la capacidad de evadir toda sospecha de su existencia por un tiempo prolongado.

Los indicios arrojan que el malware podría ser parte de un esquema RAAS (ransomware-as-a-service) esto quiere decir que los distribuidores de tan potente amenaza pueden elegir la forma de propagación del encriptador. De acuerdo a las pruebas se detecta que posiblemente su distribución esté siendo realizada desde un programa de afiliados.

La funcionalidad oculta del malware creada por sus desarrolladores les permite descifrar archivos sin que los afiliados lo sepan, únicamente necesitan de un servidor vulnerable al cual se envía un comando para descargar el archivo malicioso llamado radm.exe, permitiendo guardar el ransomware de forma local y ejecutarlo.

El ransomware Sodin se encontró propagado en Asia con un 17,6 por ciento de ataques, que fueron detectados en Taiwán, el 9,8 por ciento en Hong Kong, y el 8,8 por ciento en la República de Corea. Así mismo se han manifestado ataques en Europa, América del Norte y América Latina.

Una vez realizada la intrusión al equipo, se deja una nota solicitando un rescate con valor en bitcóins de 2.500 dólares estadounidenses por cada víctima.

Fedor Sinitsyn investigador de seguridad de Kaspersky menciona "El 'ransomware' es un tipo de 'malware' muy popular, pero no es frecuente que veamos una versión tan elaborada y sofisticada: usar la arquitectura de la CPU para pasar desapercibido no es una práctica común para los encriptadores".

Ante la creciente ola de ciberamenazas que se aprovechan y se valen de las vulnerabilidades de nuestros equipos y sistemas es necesario activar servicios de detección, prevención y emergencia para defender los datos e información de las empresas.

México es el país con mayor cantidad de tráfico malicioso ¿Tu empresa está protegida?

Publicado por ivettecastro01 en 8 junio, 201819 mayo, 2020en hackers, Malware, Palo Alto, RansomwareDeja un comentario

En el mundo actual, los ataques cibernéticos y el robo de información son cada vez más comunes, el año 2018 está establecido como el año de las amenazas informáticas y conforme avanza el año, hemos visto surgir nuevos y cada vez más resistentes ataques.

Ningún país o persona está exento de ataques a su seguridad informática, pero en el caso particular de Latinoamérica, México es, de acuerdo con las últimas estadísticas, el país de América Latina que más ciberataques sufre y estos son cada vez más avanzados. Para confirmar esta información tan preocupante, Derek Manky, estratega global de Seguridad de Fortinet, mencionó recientemente que México tiene más de cuatro veces el promedio mundial de malware para teléfonos móviles y que el país cuenta con el 28 % de todas las amenazas avanzadas.

Otras estadísticas alarmantes:

El porcentaje de empresas en nuestro país que han sufrido un ciberataque es superior al promedio global; 87 % de las empresas nacionales fueron atacadas, esto es un 13 % más que en el resto del mundo.
Durante el año 2016, el costo promedio de recuperación en México tras un ataque, ascendió a 1.5 mdd, el costo promedio global fue de 2.3 mdd.

De acuerdo con Kaspersky, durante el 2017, tras los ataques de WannaCry, en las empresas, los ciberataques aumentaron un 3.6 %, esto obliga a las empresas a llevar su ciberseguridad un paso más allá, ahora necesitan no sólo en una solución para proteger su información, necesitan una plataforma de seguridad robusta que cuente siempre con las últimas actualizaciones para así minimizar los ataques y posibles daños.

Los expertos afirman que el aumento en los ataques a las empresas mexicanas, se debe principalmente, a que la gran mayoría de ellas, no cuenta con estrategias claras de ciberseguridad para proteger sus equipos y su información.

En el mismo informe, se menciona que el primer paso que las empresas mexicanas deben dar para lograr una protección completa, involucra tres preguntas:

¿Qué información tengo?
¿Dónde la tengo?
¿Quién tiene acceso a ella?

Respondiendo a estas preguntas, las empresas deben conocer y controlar y monitorear constantemente la información que de perderse, generaría un grave problema para las operaciones de las mismas.

Otro punto clave para la ciberseguridad de las empresas mexicanas, (y la respuesta a la tercera pregunta) es la poca importancia que dan a la seguridad interna de su información, y no están preparadas para defenderse de un ataque que venga desde el interior de la misma organización.

En resumen, el problema de ciberseguridad al que se enfrentan las empresas mexicanas es cada vez más apremiante debido a la cantidad y resistencia de los ataques de los que son víctimas, para prevenirlos y proteger tanto su información como la de sus clientes, es de vital importancia la implementación de plataformas de seguridad robustas, que cubran todos los ámbitos desde los que pueden ser vulneradas. ¿Te interesa conocer una plataforma de seguridad que cumpla esas características? ¡Contáctanos!

Fuentes: Milenio.com, Vanguardia.com.mx

México detecta virus de origen norcoreano con ayuda del FBI

Publicado por ivettecastro01 en 11 enero, 201819 mayo, 2020en ciberseguridad méxico, FALLCHILL, Ransomware, virus, virus maliciosoDeja un comentario

Recientemente la Procuraduría General de la República (PGR) anunció que con ayuda del FBI se hizo la detección de un software malicioso de origen norcoreano, este virus era utilizado para extraer información y controlar los equipos infectados.

La PGR trabajó en conjunto con el Buró Federal de Investigaciones (FBI) para encontrar e identificar este software malicioso llamado FALLCHILL, en la infraestructura del ciberespacio mexicano. El virus se encontró alojado en equipos pertenecientes a una empresa privada de telecomunicaciones que opera en la Ciudad de México.

La forma de trabajar de este software consistía en extraer la información de los discos duros, crear, iniciar y terminar procesos del sistema; buscar, leer, escribir, mover y ejecutar archivos, además de modificar las fechas de acceso y modificación, y eliminándose una vez extraída la información.

Gracias a la colaboración, el PGR y el FBI, además de identificar el software y realizar las acciones necesarias para evitar más daños, aislaron los servidores infectados de la red para evitar que siguiera propagándose.

Además de este anuncio, la PGR informó que, durante el último cuatrimestre del año pasado, se identificaron al menos 290 incidentes de ciberseguridad en México.

Los ataques cibernéticos más destacados del 2017

Publicado por ivettecastro01 en 11 diciembre, 201719 mayo, 2020en Malware, RansomwareDeja un comentario

Este año ocurrieron varios ataques cibernéticos que afectaron a miles de empresas y usuarios en todo el mundo, a continuación hacemos un recorrido por los más conocidos.

Los ataques más destacados del 2017.

- A inicios del 2017 los agentes rusos conocidos como ‘APT28’ lanzaron ataques contra diferentes organizaciones gubernamentales y políticas europeas.

- El 12 de mayo marcó un antes y un después en la historia de la ciberseguridad. El ransomware WannaCry se difundió rápidamente en todo el mundo y logró infectar miles de equipos en tiempo record.

Aunque era un poderoso ransomware, tenía algunos errores que los expertos encontraron y usaron a tiempo para detener el ataque. En total, WannaCry consiguió $130,000 dólares. Mucho menos de lo esperado para un ransomware de su capacidad.

- El 27 de junio otro ransomware atacó al mundo, Petya. Este malware era un poco más avanzado que WannaCry, pero aun así contenía ciertas fallas que permitieron detenerlo. La principal; tenía un sistema de pago ineficiente.

Petya logró infectar dispositivos en todo el mundo, pero, debido al alcance, se sospecha que estaba dirigido contra Ucrania, porque provocó caos en las compañías eléctricas, aeropuertos, el transporte público y el Banco Central de ese país.

- Cloudbleed, fue otro caso de ciberataque que probablemente no fue tan publicitado. En el mes de febrero, la infraestructura de la compañía CloudFlare, junto con la información de sus casi 6 millones de clientes de vio amenazada.

- La campaña de Macron, actual presidente de Francia, también fue hackeada durante este año, tan sólo dos días antes de las elecciones. Los hackers liberaron 9GB de correos electrónicos filtrados del partido de izquierda al que Macron pertenece.

- Cerramos esta lista con WikiLeaks. El 7 de marzo se liberaron los datos de 8,761 documentos que en teoría fueron robados a la CIA. Esta noticia fue y sigue siendo trascendiendo debido a las revelaciones sobre las vulnerabilidades de iOS, Android y Windows que permiten obtener la información privada de cualquier persona fácilmente.

Muchos de estos ciberataques fueron posibles a causa de las brechas o errores que se encuentran en los firewall, para prevenir, Palo Alto Networks creo Advanced Endpoint Protection, que crea la solución de TRAPS, la cual previene brechas de seguridad, ya que bloquea tanto malware conocido, desconocido, exploits y amenazas de día cero, puede proteger desde sistemas operativos sin soporte (Windows XP), sin parches de seguridad aplicados.

¿Cuál otro ciberataque sucedido durante este año que agregarías a lista?

Bad Rabbit: epidemia de ransomware en aumento

Publicado por ivettecastro01 en 2 noviembre, 201714 julio, 2020en bad rabbit, kaspersky, RansomwareDeja un comentario

Este año ya hemos vivido dos ataques de ransomware, el de WannaCry y el de ExPetr (también conocidos como Petya y NotPetya), y, al parecer, tenemos un tercer ataque a la vista: el nuevo malware se llama Bad Rabbit, o al menos ese es el nombre que dan en la web de la darknet a la que enlaza su nota de rescate.

Lo que se sabe hasta ahora es que el ransomware Bad Rabbit ha infectado varios medios de comunicación rusos; la agencia de noticias Interfax y Fontanka.ru se encuentran entre las víctimas de este malware. El Aeropuerto Internacional de Odesa ha informado de un ciberataque en su sistema de información, aunque aún no está claro que se trate del mismo ataque.

Los delincuentes responsables del ataque Bad Rabbit piden 0,05 bitcoins como rescate, unos 280 dólares con el cambio actual.

De acuerdo con nuestros hallazgos, el ataque no usa exploits, sino que se trata de un ataque drive-by: las víctimas descargan un instalador falso de Adobe Flash desde una web infectada y ejecutan el archivo .exe ellos mismos. Nuestros investigadores han detectado varias páginas web comprometidas, todas de prensa.

Todavía no se sabe si es posible recuperar los archivos que ha cifrado Bad Rabbit (ya sea pagando el rescate o mediante algún error en el código del ransomware). Los expertos de Kaspersky Lab están investigando el ataque y actualizarán esta publicación con sus conclusiones.

De acuerdo con nuestros datos, muchas de las víctimas de estos ataques están en Rusia. También hemos visto ataques similares, aunque pocos, en Ucrania, Turquía y Alemania. Este ransomware ha infectado los dispositivos mediante varias webs rusas de prensa que han sido hackeadas.

Los analistas de Kaspersky Lab han descubierto que el ataque ransomware Bad Rabbit tiene una clara conexión con el ataque de ExPetr que tuvo lugar el pasado mes de junio de este año.

Según su análisis, el algoritmo hash utilizado en el ataque es similar al utilizado por ExPetr. Además, los expertos han detectado que ambos ataques utilizan los mismos dominios; y las similitudes en los respectivos códigos fuente indican que el nuevo ataque está ligado a los creadores de ExPetr.

Al igual que exPetr, Bad Rabbit intenta hacerse con credenciales de la memoria del sistema y difundirse dentro de la red corporativa por WMIC. Sin embargo, los analistas no han encontrado los exploits EternalBlue o EternalRomance en el ataque del Bad Rabbit; ambos utilizados en ExPetr.

La investigación muestra que los ciberatacantes que están tras esta operación se han estado preparando al menos desde julio de 2017, creando su red de infección en sitios hackeados, principalmente medios de comunicación y recursos de información de noticias.

Los productos de Kaspersky Lab detectan el ataque con la siguiente denominación:

UDS:DangerousObject.Multi.Generic (si lo detecta Kaspersky Security Network) y PDM:Trojan.Win32.Generic (si lo detecta System Watcher).

Para evitar ser una víctima de Bad Rabbit:

Los usuarios de los productos de Kaspersky Lab deben:

Asegurarse de que tienen activados tanto System Watcher como Kaspersky Security Network. En el caso de que no, es muy importante activar dichas características.

Otros usuarios deben:

Bloquear la ejecución de los archivos c:windowsinfpub.dat y c:Windowscscc.dat.
Desactivar el servicio WMI (si es posible en tu entorno) para prevenir que el malware se extienda por tu red.

Consejos para todos:

Hacer copias de seguridad de los datos.
No pagar el rescate.

Fuente: kaspersky.es
{{cta('30f9031b-d385-4d1d-b71f-6cbe1ee5aa75')}}

La relación del Ransomware con los huecos de seguridad.

Publicado por ivettecastro01 en 2 agosto, 201719 mayo, 2020en escaneo de seguridad, Malware, Ransomware, vulnerabilidadDeja un comentario

El Ransomware es un tipo de programa malicioso que “secuestra” la información del usuario víctima del Malware, evitando que pueda utilizarla o amenazando con publicar la información a no ser que se realice un pago para su liberación. Las técnicas de secuestro de datos pueden ir desde mecanismos simples relativamente fáciles de revertir, hasta técnicas muy complejas de cifrado de datos de llave asimétrica. En la actualidad es común que el pago se solicite por medio de bitcoins, aunque la posibilidad de recuperar la información a pesar del pago es baja.

En lo que va del 2017 han surgido dos versiones de Ransomware que utilizan el exploit EternalBlue, que aprovecha un hueco de seguridad en el protocolo SMB (Server Message Block) de Windows, se cree que EternalBlue fue desarrollado por la Agencia Nacional de Seguridad de los Estados Unidos (NSA) y que se filtró en abril de 2017, este exploit fue utilizado por WannaCry en marzo del 2017 e infectó más de 230,000 computadoras en 150 países y por la nueva versión de Petya (NotPetya) utilizada principalmente para realizar Cyberataques principalmente hacia Ucrania en junio de este mismo año.

Un hueco de seguridad o vulnerabilidad se define como una debilidad presente en un Sistema Informático el cual afecta y/o compromete la Seguridad de este componente, lo que le permitiría a un atacante explotar y violar la confidencialidad, integridad, disponibilidad y el control de acceso así como la consistencia del Sistema y de la información contenida y resguardada en el mismo.

En resumen un hueco de seguridad al ser explotado representa una “puerta abierta” que permite la realización de infecciones masivas de Ransomware y otros tipos de Malware y ataques, por lo que es de gran importancia mantener la cantidad de huecos de seguridad en un sistema al mínimo posible, la detección de huecos de seguridad se realiza por medio de un Escaneo de Seguridad.

Este tema ha crecido notablemente por lo que te recordamos la importancia de realizar escaneos de vulnerabilidades, respaldos de manera frecuente, aplicar parches de seguridad con regularidad, así como contar con equipos NGFW y Antivirus como mecanismos de protección mínimos para tus equipos de cómputo.

Evolución del Ransomware

Publicado por ivettecastro01 en 20 julio, 201719 mayo, 2020en Malware, RansomwareDeja un comentario

El Ransomware es un tipo de programa malicioso que “secuestra” la información del usuario víctima de Malware, evitando que pueda utilizarla o amenaza con publicar la información solicitando se realice un pago para su liberación. Las técnicas de secuestro de datos pueden ir desde mecanismos simples relativamente fácil de revertir hasta técnicas muy complejas de cifrado de datos de llave asimétrica, en la actualidad es común que el pago se solicite por medio de bitcoins, aunque la posibilidad de recuperar la información a pesar del pago es baja.

A continuación hacemos un breve resumen de la evolución del Ransomware en los que se ha manejado cifrado de datos:

1989, nace “AIDS Trojan o PC Cyborg” creado por Joseph Popp: La primera extorción conocida con Ransomware, solo cifraba los nombres de archivos y solicita un pago reclamando que una licencia de un software determinado había expirado, se solicita el pago de 189 Dlls para restaurar su información, utiliza cifrado simétrico.
1996, Adam L. Young y Moti Yung, realizan pruebas de concepto de secuestro de información por medio de cifrado asimétrico de llave pública, como una critica a la técnica usada por el Ransomware AIDS.
2005, en mayo de este año y hasta mediados de 2006, aparecen varias versiones de Ransomware, Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip y MayArchive comienzan a utilizarse esquemas de cifrado de RSA con tamaños de llave cada vez más grandes.
2006, en junio de este año AG cifraba con llaves de 660 bits en criptografía de RSA de llave pública.
2008, aparece una variante AK, utilizando llaves de 1024 bits en criptografía de RSA de llave pública, en este momento se torna complejo el cifrado y muy difícil de descifrar sin la correspondiente llave privada.
2013, en diciembre regresa con la propagación de Cryptolocker, utilizando el bitcoin como manera de recolectar las transacciones, aparecen nuevas amenazas, CryptoLocker 2.0 (no se basa en la primera versión), CryptoDefense.
2014, Septiembre, aparecen en Australia una serie de ataques con los nombres CryptoWall and CryptoLocker (versión 2.0, diferente al original), se esparció por correo electrónico anunciado que no fue posible realizar la entrega de un producto por correo tradicional Australiano.
2016, en marzo, aparece Petya, a diferencia de otros tipos, infecta el Master Boot Record, cifrando la tabla de archivos de NTFS al siguiente inicio de la computadora después a la infección, evitando que el equipo arranque a no ser que se pague la cuota solicitada.
2017, en mayo aparece WannaCrypt (WannaCry), el ataque se esparce por el Internet utilizando un vector llamado EternalBlue, el cual fue una fuga de la NSA, infectó más de 230,000 computadoras en 150 países, este Malware utiliza una falla de seguridad en Windows para poderse replicar automáticamente.
2017, en junio aparecer una nueva versión muy modificada de Petya, utilizada principalmente para realizar Cyber ataques principalmente hacia Ucrania, utiliza el mismo vector que se utilizó en WannaCry.

Seguramente seguirán apareciendo nuevas versiones de Ransomware con nuevas técnicas, además de nueva versiones de las ya conocidas, por lo que es muy importante estar alerta, la mejor protección contra el Ransomware es la realización de respaldos de información frecuentes, la aplicación de Parches de Seguridad, así como el uso de Firewallsy Antivirus.

¿Qué es un Escaneo de Vulnerabilidades?

Publicado por ivettecastro01 en 7 julio, 201719 mayo, 2020en Hacking, Malware, Noticias de Seguridad, Ransomware, Seguridad InformáticaDeja un comentario

Durante este 2017 la Seguridad Informática ha cobrado una importante popularidad, en gran parte se debe a los altos indicies de ataques con Ransomware, Malware, Spyware, entre otros, estos se han llevado a cabo en los últimos 18 meses, pero no todo es malo, también el auge de la carrera en Ciberseguridad ha permitido que más profesionistas mexicanos llegue a las empresas proponiendo estrategias de ciberseguridad con la tarea firme de proteger la información y toda la infraestructura en general.Últimamente el Escaneo de Vulnerabilidades ha llamado la atención de los líderes de opinión, pero muchas personas aún no alcanzan a comprender lo que realmente se hace, por eso queremos platicarte al estilo de Cero Uno Software qué es y cómo ayuda a tu negocio:

¿Qué es?

Es un análisis, identificación y reporte muy sistemático de las vulnerabilidades en cuestión de seguridad que se tienen en una infraestructura de computo. La intención es proteger en el mejor porcentaje posible la seguridad de la información ante el ataque de un ente externo.

¿En que ayuda a una empresa?

Permite remediar las vulnerabilidades dentro del ambiente TI antes de que un hacker o agresor cibernético logre detectarlas, es cierto, nadie puede proteger una empresa al 100% pues cada segundo nacen nuevos virus y es imposible seguirles el paso.

¿Importa el tamaño de la empresa?

Alrededor del mundo no se ha detectado un patrón de comportamiento para los ataques y es que la información puede tener un valor diferente entre las personas, no importa si eres una PyME o una empresa de talla mundial, siempre habrá alguien que valore tu información de una forma u otra.

¿Cuáles son los entregables en un Escaneo de Vulnerabilidades?

Contrato de confidencialidad
Detección y evaluación de las vulnerabilidades a través de el uso de hardware y software
Análisis del muestreo
Reporte cuantitativo y cualitativo de los datos obtenidos
Sugerencias
Propuesta de Soluciones para robustecer la estrategia de ciberseguridad

¿Cada cuándo se debe hacer?

Los expertos de Cero Uno Software recomiendan hacer esta actividad cada 6 meses, de esta forma se da un seguimiento equilibrado y estructurado a la estrategia de Seguridad Informática.

Detalles importantes para contratar un escaneo de vulnerabilidades con una empresa:

Idéntifica la trayectoria en el tema de Ciberseguridad de la empresa que contratarás
Revisa si están debidamente certificadas
Pide referencias del personal que te atenderá
Investiga en internet la reputación que tiene la empresa
Exige el contrato de confidencialidad que te blindará en caso de que la información se filtre
Pide costos y alcances previo a firmar un contrato

Recuerda que en Cero Uno Software también tenemos este servicio, ejecutado por profesionales de la Ciberseguridad y con garantías de calidad únicas en el sector.

Palo Alto Networks lanza comunicado sobre Ransomware PETYA

Publicado por ivettecastro01 en 27 junio, 201719 mayo, 2020en Antivirus, Firewall, Malware, Palo Alto Networks, RansomwareDeja un comentario

A continuación el comunicado que lanzó Unit 42 de Palo Alto Networks referente al Ransomware Petya

¿Qué sucedió?

El 27 de junio del 2017, el ransomware Petya comenzó a impactar a varias organizaciones, incluyendo a gobiernos y a operadores de infraestructura crítica. El ataque parece propagarse de manera similar a los ataques WanaCrypt0r/WanaCry(propagados en mayo del 2017), probablemente utilizando al exploit ETERNALBLUE para penetrar la red a través del protocolo SMB de Microsoft Windows.

Los clientes de Palo Alto Networks fueron protegidos automáticamente contra los ataques de Petya a través de protecciones creadas, entregadas, y aplicadas a través de múltiples elementos de nuestra Plataforma de Seguridad de Nueva Generación.

¿Cómo funciona el ataque?

Aunque aun no se tiene una certeza del vector de inicial de infección, este ransomware probablemente intenta propagarse a otros hosts utilizando el protocolo SMB mediante la explotación de la vulnerabilidad ETERNALBLUE (CVE-2017-0144) en sistemas Microsoft Windows.

Esta vulnerabilidad fue divulgada públicamente por el grupo "Shadow Brokers" en abril del 2017, la cual fue abordada por Microsoft en marzo del 2017 con la actualización de seguridad MS17-010. Una vez que una infección ha ocurrido con éxito, el malware cifra los sistemas de los usuarios, y solicita un pago de $300 USD para devolver el acceso.

Para un análisis detallado sobre la forma de operar de Petya, lo invitamos a leer el blog realizado por nuestro equipo de investigación de amenazas, Unit 42.

Prevenciones proporcionadas por Palo Alto Networks

Los clientes de Palo Alto Networks están protegidos a través de nuestra Plataforma de Seguridad de Nueva Generación, la cual opera bajo un enfoque basado en la prevención, que puede detener automáticamente a las amenazas a lo largo del ciclo de vida del ataque. Los clientes de Palo Alto Networks se han protegido automáticamente del ransomwar a través de múltiples controles complementarios de prevención por medio de nuestra Plataforma de Seguridad, incluyendo:

• WildFire clasifica a todas las muestras conocidas como malware, bloqueando automáticamente el contenido malicioso de ser entregado a los usuarios.

• AutoFocus rastrea y caza el ataque a través de un análisis de amenazas, por medio del tag Petya.

• Threat Prevention

Impone firmas IPS (contenido liberado: 688-2964) para detener el exploit de la vulnerabilidad (CVE-2017-0144 - MS17-010) muy probablemente utilizada en este ataque.
Bloquea la actividad maliciosa mediante las firmas "Virus/Win32.WGeneric.mkldr" y "Virus/Win32.WGeneric.mkknd".

• GlobalProtect extiende las protecciones de WildFire para asegurar una cobertura consistente, tanto para usuarios remotos, como para ubicaciones remotas.

Recomendamos fuertemente que todos los usuarios de Windows aseguren que tengan instalados a los últimos parches disponibles de Microsoft, incluidas las versiones de software que ya hayan dejado de contar con soporte.

¿Te interesa conocer más de esta Solución NextGen? da click en la siguiente imagen y obtén una demo completamente GRATIS