Microsoft ATA - Advanced Threat Analytics - Parte 1

Introducción:
Hoy no siguen llamando empresas por que han sufrido algún tipo de ataque de ransomware y cuando analizamos la situación, observamos que los códigos maliciosos estaban en la red hace varios días, intentando acceder a la información, borrar backups, buscar PC vulnerables, etc.
Por otro lado tenemos las problemáticas de los antimalware (hoy considero que están a un 30 % de protección para evitar un código malicioso tipo ransomware), que cada vez tienen más funcionalidades que entre todas intentan bloquear la ejecución de los scripts o lineas de ejecución y desde el lado del usuario poseen PC con S.O Microsoft con buenos recursos de CPU (core i5 u core i7), con buena cantidad de RAM y discos SATA lentos, provocando que el comportamiento del equipo sea lento por que el antimalware está todo el tiempo analizando los accesos al disco (y no hablemos cuando el antimalware está configurado de manera predeterminada, el mismo dinamita el uso de la PC).
En los últimos casos, vemos, que a pesar que las plataformas poseen Microsoft Active Directory, los administradores no tienen el control de la plataforma y no saben que ocurre en ella. Es por eso, que este artículo quiere dar un poco de luz sobre esto y comentarles sobre una solución que provee Microsoft para entender el comportamiento de la red, equipos y recursos que estén conectados a ella.

Microsoft a puesto a disposición Microsoft ATA.

Qué es Microsoft ATA?
ATA es una plataforma local que le ayuda a proteger a su empresa de ataques dirigidos avanzados analizando, descubriendo e identificando automáticamente comportamientos de la entidad (usuario, dispositivos y recursos) normales y anormales, evitando implementar esto en soluciones de antimalware que lo único que provoca es consumir recursos de los S.O.

Como trabaja ATA?
ATA aprovecha un motor de análisis de red patentado para capturar y analizar el tráfico de red de múltiples protocolos (como Kerberos, DNS, RPC, NTLM y otros) para la autenticación, la autorización y la recopilación de información.
Esta información es recopilada por ATA a través de:

• Duplicación de puertos desde controladores de dominio y servidores DNS a la puerta de enlace ATA y / o
• Implementación de una ATA Lightweight Gateway (LGW) directamente en controladores de dominio.

ATA toma información de múltiples fuentes de datos, como registros y eventos en su red, para conocer el comportamiento de los usuarios y otras entidades de la organización y crear un perfil de comportamiento sobre ellos.
ATA, por otro lado, también puede recibir eventos y registros de:

• Integración SIEM
• Reenvío de eventos de Windows (WEF)
• Directamente desde el recopilador de eventos de Windows (para la puerta de enlace de peso ligero)

Qué hace ATA?
La tecnología ATA detecta múltiples actividades sospechosas, centrándose en varias fases de la cadena de ataque cybernético, que incluyen:

• Reconocimiento, durante el cual los atacantes recopilan información sobre cómo se construye el entorno, cuáles son los diferentes activos y qué entidades existen. Por lo general, construyen su plan para las siguientes fases del ataque. Este comportamiento muy habitual en un ransomware que buscan archivos de backup para eliminarlos antes de cifrar las fuentes de datos originales, por ejemplo.
• Ciclo de movimiento lateral, durante el cual un atacante invierte tiempo y esfuerzo en extender su superficie de ataque dentro de su red. También sirve para detectar casos de minería de bitcoins.
• Dominio de dominio (persistencia), durante el cual un atacante captura la información que le permite reanudar su campaña utilizando varios conjuntos de puntos de entrada, credenciales y técnicas.

Estas fases de un ciberataque son similares y predecibles, sin importar qué tipo de compañía se encuentre bajo ataque o a qué tipo de información se dirige. ATA busca tres tipos principales de ataques: ataques maliciosos, comportamiento anormal y problemas y riesgos de seguridad.
Los ataques maliciosos se detectan de forma determinista, buscando la lista completa de los tipos de ataque conocidos, que incluyen:

• Pass-the-Ticket (PtT)
• Pass-the-Hash (PtH)
• Overpass-the-Hash
• Forged PAC (MS14-068)
• Golden Ticket
• Malicious replications
• Reconnaissance
• Brute Force
• Remote execution

ATA detecta el comportamiento anormal utilizando análisis de comportamiento y aprovecha el aprendizaje automático para descubrir actividades cuestionables y comportamientos anormales en usuarios y dispositivos de su red, que incluyen:

•     Inicios anómalos
•     Amenazas desconocidas
•     Compartir la contraseña
•     Movimiento lateral
•     Modificación de grupos sensibles

Puede ver actividades sospechosas de este tipo en el Tablero de ATA. En el siguiente ejemplo, ATA le avisa las alertas de menor a mayor

ATA también detecta problemas y riesgos de seguridad, que incluyen:

•     Confianza rota
•     Protocolos débiles
•     Vulnerabilidades conocidas del protocolo

Arquitectura ATA
ATA supervisa el tráfico de red de su controlador de dominio mediante la duplicación de puertos a una puerta de enlace ATA mediante conmutadores físicos o virtuales. Si despliega ATA Lightweight Gateway directamente en sus controladores de dominio, elimina el requisito de duplicación de puertos. Además, ATA puede aprovechar los eventos de Windows (reenviados directamente desde los controladores de su dominio o desde un servidor SIEM) y analizar los datos en busca de ataques y amenazas. Esta sección describe el flujo de redes y captura de eventos y ejercicios para describir la funcionalidad de los componentes principales de ATA: la puerta de enlace ATA, ATA Lightweight Gateway (que tiene la misma funcionalidad básica que ATA Gateway) y ATA Center.

Es una solución muy simple de implementar, si se siguen las recomendaciones que adjunto en este link en donde podrá acceder a una herramienta de sizing,  que provee Microsoft.

Les dejo algunas referencias que pueden serles de utilidad

1) Acceder a la herramienta y paso a paso la instalación: https://docs.microsoft.com/es-es/advanced-threat-analytics/install-ata-step1

2) Guia de como investigar actividades sospechosas: https://docs.microsoft.com/es-es/advanced-threat-analytics/suspicious-activity-guide

3) Video explicación básica: https://docs.microsoft.com/es-es/advanced-threat-analytics/suspicious-activity-guide

Ventajas:
1) No consume recursos de los S.O monitoreados o de la red.
2) Análisis en caliente del comportamiento de la plataforma.
3) Contar con información para análisis forense.
4) Se puede integrar con SIEM para potenciar el ATA.

En un próximo articulo mostraremos como ATA nos permitirá detectar un ataque de ransomware o un intento de intrusión de un empleado deshonesto.

Hasta la Proxima

Fuente: Microsoft

MVP - 13 años ininterrumpidos

En febrero recibimos el premio por  mayor conocimiento en Ciberseguridad en LATAM por Cibersecurity Insider y ayer, por decimo tercer año consecutivo Microsoft nos vuelve a premiar como MVP. Adjunto la nota que nos hace llegar Microsoft para Uds.
Gracias a todos los que visitan nuestro blog y colaboran.

Asunto: Enrique Dutra,Most Valuable Professional (MVP),Cloud and Datacenter Management

A quien corresponda:

Es todo un placer comunicarle que Enrique Dutra ha recibido el reconocimiento “Microsoft®

Most Valuable Professional” (MVP) para 01/07/2018 - 01/07/2019. El Premio MVP de Microsoft

tiene una vigencia anual y se otorga a aquellos líderes de la comunidad técnica que de forma

activa comparten su experiencia con la tecnología con usuarios y profesionales de todo el

mundo. Todo el equipo de Microsoft agradecemos la extraordinaria contribución de Enrique y

deseamos aprovechar esta oportunidad para mostrarle nuestra gratitud.

Los más de 4.000 MVPs actuales representan el grupo más selecto de expertos en tecnologías

de Microsoft en todo el mundo. Los MVPs comparten un profundo compromiso con la

comunidad y la voluntad de ayudar a otros a crecer en conocimiento. Al mismo tiempo también

representan la gran diversidad de las comunidades técnicas de todo el mundo. Los MVPs

están presentes en más de 90 países, más de 40 idiomas y conocen una gran variedad de

tecnologías. Los MVPs transmiten su pasión por la tecnología, su voluntad de ayudar a los

demás y su gran compromiso con la comunidad. Estos tres aspectos definen a los MVPs como

excepcionales líderes de la Comunidad. El esfuerzo de los MVPs ayuda a mejorar la vida de

los demás y el éxito de la industria de muchas formas diferentes. Compartiendo sus

conocimientos y experiencia y dando feedback objetivo a Microsoft, ayudan a resolver

problemas y descubrir nuevas formas de utilización de la tecnología cada día. Los MVPs son el

grupo más brillante de expertos tecnológicos, por lo que es un gran placer para nosotros dar la

bienvenida a Enrique como uno de ellos.

Como forma de reconocimiento a la gran aportación realizada por los MVPs de todo el mundo,

Microsoft les brinda la oportunidad de reunirse con los miembros de los equipos de desarrollo

de producto de Microsoft así como otros ejecutivos de la empresa, conocer a otros MVPs y

representar a sus comunidades técnicas. Esto es posible a través de la participación como

ponentes en eventos, reuniones privadas y creación de contenido técnico original. Además los

MVPs tienen acceso temprano a la tecnología a tavés de una gran variedad de programas de

testeo de betas, bits y previews ofrecidos por Microsoft, que les mantiene informados casi en

tiempo real sobre el estado de la industria del hardware y el software.

Como miembro del grupo de galardonados con el Premio MVP de Microsoft de este año,

Enrique forma parte de este selecto grupo de personas de todo el mundo, que han demostrado

una excepcional voluntad de hacer llegar a los demás su conocimiento y experiencia para

ayudarles a optimizar el uso de la tecnología.

Atentamente,

The Microsoft Most Valuable Professional (MVP) Award Team

Microsoft Corporation

2018 Cybersecurity Excellence Awards

Welcome to the 2018 Cybersecurity Excellence Awards – recognizing companies, products and individuals that demonstrate excellence, innovation and leadership in information security. The awards are produced by Cybersecurity Insiders in partnership with the Information Security Community on LinkedIn, tapping into the vast experience of over 400,000+ cybersecurity professionals to honor the world’s best cybersecurity products, professionals and organizations.

This year we were awarded with

Link : https://cybersecurity-excellence-awards.com/candidates/enrique-g-dutra

 Thanks you all...

NET Conf UY v2017 | El mayor evento sobre tecnologías Microsoft en Sudamérica.

Del 23 al 27 de Octubre de 2017, se llevará a cabo el evento de tecnologías Microsoft .NET Conf UY v2017. El mismo reúne durante cinco días a oradores nacionales e internacionales junto a la comunidad de desarrolladores locales e instituciones participantes.

Este evento es declarado de interés nacional por el Ministerio de Educación y Cultura del gobierno uruguayo (MEC) y cuenta con el apoyo de empresas como: Microsoft, Kaizen Softworks, Nareia, Onetree, Uruguay Smart Services, Uruguay XXI Smart Talent, UruIT, entre otros.

En esta edición, el evento se compone de:

●  Dos días en formato de conferencia, con ponencias y charlas sobre temáticas relacionadas. Más de 35 charlas de speakers internacionales y locales

●  Tres días de talleres de trabajo prácticos (workshops). 9 Workshops en 3 tracks simultáneos.

●       Una convivencia recreativa entre los asistentes y oradores del evento.

Workshops

El 23, 24 y 25 de Octubre de 2017 están planificados una serie de workshops dictados por oradores de la conferencia con el objetivo de ofrecer a los asistentes una oportunidad de compartir conocimiento.

Es una instancia donde los asistentes tendrán la oportunidad de poder compartir un espacio de actualización y camaradería junto con el resto de los participantes y junto a speakers referentes en la industria de IT.

Conferencia

El ciclo de conferencias se estará desarrollando en el Auditorio de las Telecomunicaciones de Antel.

.NET Conf UY v2017 es la conferencia más grande de Tecnologías Microsoft en Sudamérica organizada por la comunidad. Aparte de contar con más de 500 asistentes, todas las charlas se suben a Channel9 (el principal canal de Microsoft sobre desarrollo). Más de 35 oradores nacionales, regionales e internacionales van a estar dictando más de 25 charlas.

En la edición del 2016, participaron más de 400 asistentes y 20 oradores de Uruguay, Argentina, Estados Unidos y Canadá. También contamos con el apoyo de 39 instituciones locales e internacionales.

Eduardo Mangarelli, Director de Tecnologías de Microsoft para Latinoamérica opinó: “.NET Conf UY es el evento organizado por la comunidad más importante de latinoamérica, por la calidad de las presentaciones, de los presentadores y la organización, esto es particularmente relevante en un momento en el cual la innovación tecnológica es el principal impulsor del desarrollo de las empresas y los negocios. Temas como inteligencia artificial, la nube, bots inteligentes serán parte de una super interesante y completa agenda.”.

Hubo muy buena devolución por parte de los sponsors locales. “En Infocorp nutrimos nuestro día a día con la pasión que sentimos por nuestro trabajo. Esta filosofía la compartimos con los organizadores de la .NET Conf, desde el primer momento en que empezamos a pensar juntos en estos tres días cargados de novedades, tendencias y tecnologías para la comunidad .NET", comentó Elena Rubin, Chief People Officer de Infocorp

 

Puede encontrar mayor información en http://netconf.uy/. También puede ver los detalles de la edición 2016 en http://netconf.uy/es/2016/.

Este evento está que EXPLOTAAAAA, no puedes dejar de asistir!!!

Legajos, Recibos y Libros de Sueldo Digitales

Objetivo del Programa

La era digital está provocando una radical transformación en el entorno laboral, y el área de Recursos Humanos no es la excepción. Desde hace años, los nuevos canales digitales brindan un abanico amplio de herramientas cada vez más amplio para la mejora cualitativa y cuantitativa de procesos como la selección y capacitación de personal, la comunicación interna, la gestión del talento y la evaluación de performance.
Los procesos administrativos propios de la gestión de Recursos Humanos enfrentan también su propia transformación digital, puesto que la tendencia general a la despapelización alcanza también a contratos, recibos, legajos y demás documentos de uso cotidiano en dicha área.
Estos cambios suponen un importante ahorro en los costos administrativos, ya que permiten liberar espacios de archivo y almacenamiento, reducir los gastos materiales, optimizar el tiempo de los trabajadores y mejorar la seguridad y accesibilidad de la documentación, a la vez que posibilitan una importante reducción del impacto ambiental. Sin embargo, la transformación conlleva también sus desafíos: más allá de la necesaria inversión en mejoras tecnológicas o en la capacitación de las personas, se trata de un auténtico cambio cultural.

Esta conferencia se propone abordar aspectos clave para afrontar exitosamente la transformación digital: los mecanismos de implementación y validez legal de los legajos, recibos de sueldo y libros de sueldo digitales y de las figuras de firma digital y electrónica que los sustentan, así como los aspectos prácticos y técnicos a tener en cuenta a la hora de aplicarlos en su empresa. Para ello contamos con las voces de expertos reconocidos en derecho tecnológico y firma digital, y también con la experiencia y lecciones aprendidas de los responsables de RRHH en empresas con un camino ya recorrido en el proceso de transformación digital.

Programa

08:30	Acreditación, entrega de documentación y café de bienvenida
09:00	Palabras de Apertura a cargo del Coordinador del Programa Aníbal Pardini ASESOR LEGAL INDEPENDIENTE
09:15	MARCO LEGAL PARA LA DIGITALIZACION ADMINISTRATIVA Disposiciones del Ministerio de Trabajo y del Ministerio de Modernización Legajo digital y Recibos de sueldo digitales Firma digital y firma electrónica Libros de sueldo digitales. Avances en CABA y otras provincias Aníbal Pardini ASESOR LEGAL INDEPENDIENTE
10:00	RIESGOS DE LA DESPAPELIZACION Y SU PREVENCION Vulnerabilidades de la documentación digital vs el papel Ransomware: secuestros de información. Funcionamiento y estrategias de prevención Resguardo de documentación digital. Principales recaudos ante instancias judiciales Enrique Dutra Socio Gerente PUNTO NET SOLUCIONES
10:45	Café
11:15	COMO IMPLEMENTAR LA DIGITALIZACION EN SU EMPRESA: Legajos, Recibos y Libros de Sueldo Aspectos técnicos y operativos Pasos y etapas de implementación Caso práctico: la experiencia en LATAM Mariano Castro Director General de Operaciones ENCODE
12:00	EXPERENCIA DE DESPAPELIZACION DE PROCESOS ADMINISTRATIVOS EN EL AREA DE RH En este módulo compartiremos la experiencia de la empresa en el proceso de despapelización de los procesos administrativos en el área de RRHH, con foco en los desafíos enfrentados, las soluciones encontradas, las lecciones aprendidas y los beneficios obtenidos a partir de su implementación. Fernando Rivera Gerente de Servicios compartidos de Recursos Humanos y Outsourcing GESTION COMPARTIDA (GRUPO CLARIN)
12:45	Mesa Redonda: LA GESTION DE RH EN LA ERA DIGITAL. TENDENCIAS ACTUALES Este espacio se dedicará a explorar cómo ven hoy la gestión de RH quienes lideran el área en diferentes empresas, cómo está impactando en el área la transformación digital y cuáles son los principales cambios que vislumbran para los próximos años. Integran el panel de análisis: Fernando Rivera HR Shared Services & Outsourcing Manager GESTION COMPARTIDA (GRUPO CLARIN) Leonardo Groppa Gerente de Relaciones Laborales BANCO SUPERVIELLE Germán Gregor Gerente de Procesos y Normas de Capital Humano TELECOM Moderador: Mariano Castro Director General de Operaciones ENCODE
13:45	Conclusiones finales
14:00	Cierre de la Conferencia y entrega de Certificados

Para registrarse contacte a

Tel (54 11) 5236 3690
Envíe sus datos por email y le confirmaremos:
Atención al cliente
inscripciones@forosyconferencias.com.ar

Los esperamos

Evento en UNC - Ransomware y seguimiento forense de billetera virtual

El día 23/08 estaremos disertando sobre Ransomware y su pago con bitcoins. Acciones a realizar luego de una infección y seguimiento de la billetera.
Por otro lado, los invitamos en Septiembre a un nuevo encuentro con aspectos de Seguridad de la Información

Los esperamos

MVP - 12 años ininterrumpidos

Este día lunes recibí con mucho placer y orgullo la notificación en donde Microsoft vuelve a renovar el reconocimiento como MVP. Este tipo de premio, no es otra cosa, que reconocer el camino que uno viene realizando y que de alguna manera indican que uno está haciendo las cosas bien. 12 años de este reconocimiento no es menor, por que una cosa es lograrlo, y otra mantenerse en él.

Les dejo la nota que acompaña el reconocimiento anual
 

Asunto: Enrique Dutra,Most Valuable Professional (MVP),Cloud and Datacenter Management 

A quien corresponda:

Es todo un placer comunicarle que Enrique Dutra ha recibido el reconocimiento “Microsoft® Most Valuable Professional” (MVP) para 01/07/2017 - 01/07/2018. El Premio MVP de Microsoft tiene una vigencia anual y se otorga a aquellos líderes de la comunidad técnica que de forma activa comparten su experiencia con la tecnología con usuarios y profesionales de todo el mundo. Todo el equipo de Microsoft agradecemos la extraordinaria contribución de Enrique y deseamos aprovechar esta oportunidad para mostrarle nuestra gratitud.

Los más de 4.000 MVPs actuales representan el grupo más selecto de expertos en tecnologías de Microsoft en todo el mundo. Los MVPs comparten un profundo compromiso con la comunidad y la voluntad de ayudar a otros a crecer en conocimiento. Al mismo tiempo también representan la gran diversidad de las comunidades técnicas de todo el mundo. Los MVPs están presentes en más de 90 países, más de 40 idiomas y conocen una gran variedad de tecnologías. Los MVPs transmiten su pasión por la tecnología, su voluntad de ayudar a los demás y su gran compromiso con la comunidad. Estos tres aspectos definen a los MVPs como excepcionales líderes de la Comunidad. El esfuerzo de los MVPs ayuda a mejorar la vida de los demás y el éxito de la industria de muchas formas diferentes. Compartiendo sus conocimientos y experiencia y dando feedback objetivo a Microsoft, ayudan a resolver problemas y descubrir nuevas formas de utilización de la tecnología cada día. Los MVPs son el grupo más brillante de expertos tecnológicos, por lo que es un gran placer para nosotros dar la bienvenida a Enrique como uno de ellos.

Como forma de reconocimiento a la gran aportación realizada por los MVPs de todo el mundo, Microsoft les brinda la oportunidad de reunirse con los miembros de los equipos de desarrollo de producto de Microsoft así como otros ejecutivos de la empresa, conocer a otros MVPs y representar a sus comunidades técnicas. Esto es posible a través de la participación como ponentes en eventos, reuniones privadas y creación de contenido técnico original. Además los MVPs tienen acceso temprano a la tecnología a tavés de una gran variedad de programas de testeo de betas, bits y previews ofrecidos por Microsoft, que les mantiene informados casi en tiempo real sobre el estado de la industria del hardware y el software.

Como miembro del grupo de galardonados con el Premio MVP de Microsoft de este año, Enrique forma parte de este selecto grupo de personas de todo el mundo, que han demostrado una excepcional voluntad de hacer llegar a los demás su conocimiento y experiencia para ayudarles a optimizar el uso de la tecnología.

Atentamente, 

Steven Guggenheimer
Corporate Vice President
Developer Experience & Evangelism Microsoft Corporation

Ransomware Petrwrap, nueva versión de PETYA

Introducción

En octubre del 2016 hicimos un artículo sobre PETYA y como funcionaban las plataformas RaaS. Aprovechando este Ransomware, los ciberdelincuente han lanzado un ataque masivo con este código malicioso, pero le agregaron el método de distribución que utilizó el WannaCry hace unas semanas atrás. Este método de propagación del ransomware, se hace aprovechando una vulnerabilidad de MS Windows sobre el SMBv1 explotando el mismo con código malicioso, aprendido de alguna manera con Eternal Blue.

Combinación explosiva.

En los análisis que hicimos sobre el código malicioso observamos que el mismo cifra el MBR (Master Boot Record)  del disco en donde se aloja el boot del S.O MS Windows.  Es decir que si el disco no esta cifrado con bitlocker u otra herramienta, si lo sacamos del equipo original, podemos reparar el MBR y colocarlo en el equipo original con el S.O funcionando nuevamente.

Decimos que es una combinación explosiva, por que este Ransomware cifra el disco denegando totalmente el acceso al equipo, no solo archivos y se propaga como lo hace el WannaCry.

Varias vulnerabilidades críticas conocidas deben ser el foco de atención de todos, por lo que se observa en la epidemia de ayer, muchas compañías aún no han desplegado sus actualizaciones. Las explotaciones  resueltas en el boletín de actualización de marzo por parte  de Microsoft son sólo el comienzo. Según se informa, estas son las mismas vulnerabilidades que utiliza la última variante Petya.

Además, otras dos actualizaciones de vulnerabilidades conocidas, publicadas en el Patch de junio, merecen atención.
 

1) CVE-2017-8543 - Una vulnerabilidad en Windows Search podría permitir que un atacante asumiera el control completo del sistema. También podría explotarse a través de la red sin autenticación a través de SMB. Fue señalado como "Exploited" cuando Microsoft lanzó la actualización en el Patch de junio/2017.

2) CVE-2017-8464 - Una vulnerabilidad en Microsoft Windows podría permitir la ejecución remota de código si se procesa un archivo LNK. Un atacante podría crear un icono de acceso directo que ofrezca los mismos derechos que el usuario local. Es un escenario para engañar a un usuario utilizando un dispositivo USB.

Microsoft ha dado un paso más allá, dado los recientes ataques y ha lanzado actualizaciones para XP, Vista y 2003. Las actualizaciones se remontan hasta el MS08-067, en donde ocurrió la vulnerabilidad que Conficker utilizó para infectar más de 15 millones de máquinas en el año 2008. Asegúrese de tener actualizadas los últimos boletines de seguridad acumuladas para Windows 7 y Server 2008 R2, como también los de Windows 10 y Server 2016. Esto cubre la familia Eternal de las amenazas conocidas y las dos últimas vulnerabilidades explotadas conocidas.
Por sistema operativo debe tener las siguientes KB aplicadas:

- Windows 7\Server 2008 R2

1. March: KB4012212
2. April: KB4015546
3. May: KB4019263
4. June: KB4022722

- Windows Server 2012

1. March: KB4012214
2. April: KB4015548
3. May: KB4019214
4. June: KB4022718

- Windows 8.1\Server 2012 R2

1. March: KB4012213
2. April: KB4015547
3. May: KB4019213
4. June: KB4022717

Está demas recordar, como lo venimos haciendo en nuestra serie de artículos desde hace un año, las acciones para protegerse contra Ransomware.

Vacunate contra Petya.

Hay un artículo en donde hay una receta casera para evitar que se infecte la PC, generando unos archivos en el S.O. Para vacunar su computadora para que no pueda infectarse con la cepa actual de NotPetya / Petya / Petna (sí, este nombre es molesto), simplemente cree un archivo llamado perfc en la carpeta C: \ Windows y haga que sea de sólo lectura. Para aquellos que quieren una forma rápida y fácil de realizar esta tarea, Lawrence Abrams ha creado un archivo por lotes que realiza este paso para usted.

Tenga en cuenta que el archivo por lotes también creará dos archivos de vacunas de adición llamados perfc.dat y perfc.dll.  El link con el paso a paso de como aplicar esta alternativa de protección es el siguiente https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/#.WVL6xMziO_4.twitter

Les recomendamos empezar a mitigar las vulnerabilidades para no tener impacto en los procesos de negocios. Al cierre de este artículo, empresas como COFCO están totalmente paradas.

Hasta la próxima.

Desencriptador para WannaCry

Introducción

Cómo dice un viejo dicho "... Una de cal otra de arena..." para utilizar una metáfora, por la aparición del WannaCry y ahora la publicación de un desencriptador, que si bien no es mágico y aplica el 100% de las veces, es un paleativo que puede llegar a ser útil al momento de querer recuperar la información.

Había una vez...

En principio el código de WannaCry se basa en "EternalBlue", un exploit usado por la NSA que fue expuesto al mundo por el grupo Shadow Brokers. Este grupo posee un set de herramientas que puede poner en riesgo a los procesos de negocios de varias organizaciones. Del set publicado por  Shadow Brokers, tenemos un conjunto de herramientas que aprovechan algunas vulnerabilidades como:

 - CVE-2008-4250 (exploit que es denominado “EclipsedWing”, Microsoft lo mitiga con un parche del año 2008, boletín MS08-67).
- CVE-2009-2526, CVE-2009-2532, y CVE-2009-3103 ( exploit “EducatedScholar”, mitigado por Microsoft con el boletín MS09-050 del año 2009).
- CVE-2010-2729 (el código malicioso “EmeraldThread”, resuelta su vulnerabilidad en el año 2010, con el boletín MS10-061).
- CVE-2014-6324 (el exploit “EskimoRoll”, mitigado con el boletín MS14-068 del año 2014).
- CVE-2017-7269 (un fallo sin resolver del IIS 6.0).
- CVE-2017-0146 y CVE-2017-0147 (exploit “EternalChampion”, mitigado en marzo de este año con el boletín MS17-010).

Si observamos, hay muchos de los boletines que se resuelven aplicando actualizaciones que han sido publicados por Microsoft hace un tiempo y aún hoy en muchas organizaciones puede explotarse por que no han sido implementados.

WannaCry
El día viernes 12 de mayo de 2017 pasará a la historia como la Pandemia que extorsionó al mundo.  Este Ransomware atacó a mas de 90.000 ordenadores distribuído en mas de 99 países en el mundo.

Su vector de infección fue un correo electrónico, utilizando la técnica de SPAM y PHISHING engaña al usuario para que visite un sitio Web, mediante un enlace de descarga del dropper (el que descargar el payload).  El archivo adjunto (dropper) infecta el equipo con el WannaCry, incluso provocando en muchos casos un BlueScreen de la muerte en los S.O Ms Windows, como vemos en la siguiente imagen:

Una vez infectado el equipo, comienza a cifrar los archivos como intento de propagación como lo hacían los virus tradicionales (el último que generó semejante impacto en un volumen importantes de equipos en el mundo, fue el CONFICKER).

El usuario observará pantallas en donde se le solicitará el pago del rescate del acceso a los archivos que fueron cifrados en su equipo. Pantallas similares a las siguientes:

Si bien muchas compañías a partir del día viernes del caos general, empezaron a parchar sus S.O, les recordamos que el parche evitará que se contagie de WannaCry desde otro equipo, pero si el usuario visita el sitio web donde está el dropper, se bajará el Ransomware y se infectará (deberá tomar otras medidas además del parche de Microsoft).

Aún hoy siguen infectándose equipos con el WannaCrypt, si quiere tener visibilidad de los casos que están ocurriendo en tiempo real, pueden verlo en este mapa https://intel.malwaretech.com/WannaCrypt.html

La propagación se realiza por los puertos 139 y 445, utilizando el SMBv1. Microsoft resuelve esta vulnerabilidad con el parche publicado en marzo/2017, pero si se complica desplegar el parche en el parque de máquinas de la red, lo que se puede hacer es desactivar el SMBv1 mediante una GPO de Active Directory y esto se aplicaría inmediatamente en toda la red. Para ver como se implementa esta GPO o Política de AD, les recomiendo revisar este artículo titulado "How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server".

Y un día se hizo la luz

En estos días se ha publicado una herramienta que permite recuperar los archivos sin tener que pagar el rescate. Una de las recomendaciones que se hace es que no se reinicie el equipo, ya que obtiene información de memoria al momento de su ejecución. Esto ocurre por que no borra los números primos de la memoria antes de liberar el uso de memoria.

El desencriptador podrán ubicarlo en esta URL https://github.com/gentilkiwi/wanakiwi/releases.

Les recordamos que puede ocurrir que no funcione en todos los casos.

Recomendaciones
Para finalizar, las constantes recomendaciones que venimos haciendo hace más de un año, nuestras 10 máximas:

1) Backup!!!!
2) Plataformas actualizadas, sin importar el S.O.
3) Aplicar una solución antimalware siempre actualizada en los dispositivos y equipos.
4) Capacitar a los usuarios sobre las amenazas.
5) Contar o ajustar soluciones antispam.
6) Filtrados Web con antivirus.
7) Contraseñas fuertes o complejas.
8) Mantenerse informados.
9) Ser desconfiados en terceros o desconocidos.
10) No pagar rescate.

Nuestras fuentes nos reportan que pueden surgir nuevas amenazas con igual o mayor impacto a la brevedad, por lo cual, esto requiere no relajarse y ser PROACTIVOS.

====================================== NOTA ===================================
Estos días leyendo algunos diarios, escuchando opiniones y otros informáticos que opinan sobre los intrusos, he observado el mal uso de unos términos que me llevan ha realizar la siguiente aclaración.
NO es lo mismo un Hacker que un Cybercriminal o Cyberdelincuente

HACKER: Unas definiciones que me gusta por que uno se siente identificado en algunas facetas, y voy a re-publicar y mencionar son:
1. Una persona que disfruta explorando los detalles de los sistemas programables y cómo estirar sus capacidades, a diferencia de la mayoría de los usuarios, que prefieren aprender sólo el mínimo necesario. RFC1392, los Glosario de los internautas , amplifica de manera útil como esta: Una persona que se complace en tener un profundo conocimiento del funcionamiento interno de un sistema, ordenadores y redes informáticas, en particular.
2. Aquel que con entusiasmo programas (incluso obsesivamente) o que disfruta de la programación en lugar de teorizar acerca de la programación.
3. Una persona capaz de apreciar el valor truco .
4. Una persona que es bueno en la programación rápidamente.
5. Un experto en un programa en particular, o uno que hace con frecuencia el trabajo de usarlo o sobre él.
6. Un experto o un entusiasta de cualquier tipo. Uno podría ser un hacker de la astronomía, por ejemplo.
7. Uno que disfruta el reto intelectual de superar creativamente o eludir limitaciones.
8. Entre otras 

FUENTE: The Jargon File, Eric´s Home Page.

CYBERDELINCUENTE: es un individuo que se aprovecha de las vulnerabilidades de las redes y sistemas de información para llevar a cabo actos tipificados por ley como criminales: robo de información, destrucción de información, extorsión, divulgación de información confidencial, distribución de pornografía infantil, envío de correo basura, terrorismo, extorsión, fraudes, robo de identidad, falsificación de información, piratería, etc.

Hasta la próxima.