miércoles, 28 de junio de 2017

Ransomware Petrwrap, nueva versión de PETYA

Introducción
En octubre del 2016 hicimos un artículo sobre PETYA y como funcionaban las plataformas RaaS. Aprovechando este Ransomware, los ciberdelincuente han lanzado un ataque masivo con este código malicioso, pero le agregaron el método de distribución que utilizó el WannaCry hace unas semanas atrás. Este método de propagación del ransomware, se hace aprovechando una vulnerabilidad de MS Windows sobre el SMBv1 explotando el mismo con código malicioso, aprendido de alguna manera con Eternal Blue.


Combinación explosiva.
En los análisis que hicimos sobre el código malicioso observamos que el mismo cifra el MBR (Master Boot Record)  del disco en donde se aloja el boot del S.O MS Windows.  Es decir que si el disco no esta cifrado con bitlocker u otra herramienta, si lo sacamos del equipo original, podemos reparar el MBR y colocarlo en el equipo original con el S.O funcionando nuevamente.

Decimos que es una combinación explosiva, por que este Ransomware cifra el disco denegando totalmente el acceso al equipo, no solo archivos y se propaga como lo hace el WannaCry.

Varias vulnerabilidades críticas conocidas deben ser el foco de atención de todos, por lo que se observa en la epidemia de ayer, muchas compañías aún no han desplegado sus actualizaciones. Las explotaciones  resueltas en el boletín de actualización de marzo por parte  de Microsoft son sólo el comienzo. Según se informa, estas son las mismas vulnerabilidades que utiliza la última variante Petya.

Además, otras dos actualizaciones de vulnerabilidades conocidas, publicadas en el Patch de junio, merecen atención.
 
1) CVE-2017-8543 - Una vulnerabilidad en Windows Search podría permitir que un atacante asumiera el control completo del sistema. También podría explotarse a través de la red sin autenticación a través de SMB. Fue señalado como "Exploited" cuando Microsoft lanzó la actualización en el Patch de junio/2017.

2) CVE-2017-8464 - Una vulnerabilidad en Microsoft Windows podría permitir la ejecución remota de código si se procesa un archivo LNK. Un atacante podría crear un icono de acceso directo que ofrezca los mismos derechos que el usuario local. Es un escenario para engañar a un usuario utilizando un dispositivo USB.

Microsoft ha dado un paso más allá, dado los recientes ataques y ha lanzado actualizaciones para XP, Vista y 2003. Las actualizaciones se remontan hasta el MS08-067, en donde ocurrió la vulnerabilidad que Conficker utilizó para infectar más de 15 millones de máquinas en el año 2008. Asegúrese de tener actualizadas los últimos boletines de seguridad acumuladas para Windows 7 y Server 2008 R2, como también los de Windows 10 y Server 2016. Esto cubre la familia Eternal de las amenazas conocidas y las dos últimas vulnerabilidades explotadas conocidas.
Por sistema operativo debe tener las siguientes KB aplicadas:

- Windows 7\Server 2008 R2
  1. March: KB4012212
  2. April: KB4015546
  3. May: KB4019263
  4. June: KB4022722
- Windows Server 2012
  1. March: KB4012214
  2. April: KB4015548
  3. May: KB4019214
  4. June: KB4022718
- Windows 8.1\Server 2012 R2
  1. March: KB4012213
  2. April: KB4015547
  3. May: KB4019213
  4. June: KB4022717
Está demas recordar, como lo venimos haciendo en nuestra serie de artículos desde hace un año, las acciones para protegerse contra Ransomware.

Vacunate contra Petya.
Hay un artículo en donde hay una receta casera para evitar que se infecte la PC, generando unos archivos en el S.O. Para vacunar su computadora para que no pueda infectarse con la cepa actual de NotPetya / Petya / Petna (sí, este nombre es molesto), simplemente cree un archivo llamado perfc en la carpeta C: \ Windows y haga que sea de sólo lectura. Para aquellos que quieren una forma rápida y fácil de realizar esta tarea, Lawrence Abrams ha creado un archivo por lotes que realiza este paso para usted.

Tenga en cuenta que el archivo por lotes también creará dos archivos de vacunas de adición llamados perfc.dat y perfc.dll.  El link con el paso a paso de como aplicar esta alternativa de protección es el siguiente https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/#.WVL6xMziO_4.twitter

Les recomendamos empezar a mitigar las vulnerabilidades para no tener impacto en los procesos de negocios. Al cierre de este artículo, empresas como COFCO están totalmente paradas.

Hasta la próxima.

No hay comentarios.: