Alerta por ransomware NotPetya

Diversos medios de comunicación reportan un nuevo ciberataque tipo ransomware que ha afectado organizaciones de varios países desde el 27 de junio.

Aunque en reportes iniciales se había identificado este malware como alguna variante de los ransomware Wannacry (2017) o Petya (2016), los últimos informes técnicos de la empresa Kaspersky señalan que el nuevo malware es significativamente diferente de los anteriores y lo están estudiando como una nueva familia de ramsonware a la que han nombrado por el momento NotPetya.

Según Kaspersky el ataque de este malware es complejo e involucra varios vectores (vías) de propagación. Kaspersky ha confirmado que utiliza un exploit modificado que aprovecha la vulnerabilidad EternalBlue (utilizada por Wannacry), así como otra nombrada Eternalromance (parcheado también en el boletín de seguridad MS17-010 de Microsoft). El malware tiene posibilidad de capturar credenciales mediante la herramienta Mimikatz, y propagarse en la red utilizando PsExec y WMIC, funcionalidades no presentes en Wannacry.

Una de las vías mediante las cuales se distribuye el malware es un correo electrónico que contiene un enlace malicioso.

Después de la infección, el malware espera entre 10 y 60 minutos para reiniciar el sistema, y a partir del reinicio sobrescribe el Registro de Arranque Principal (MBR o Master Boot Record) y comienza el proceso de cifrado, mostrando una pantalla que asemeja un chequeo de disco. A partir de este momento se impide el acceso al sistema. Con posterioridad se muestra la siguiente imagen explicando que los ficheros del sistema han sido cifrados y se pide el rescate con las instrucciones para realizarlo.

Recomendaciones

  • Mantener salvas protegidas de la información.
  • No abrir correos o enlaces que no sean de fuentes conocidas.
  • Mantener actualizadas las bases de antivirus, para garantizar la inclusión de las nuevas firmas a medida que se investigue el malware con mayor detalle por las empresas de programas Antivirus.
  • Mantener actualizados los sistemas operativos Windows, en especial verificar que estén instaladas las actualizaciones emitidas por Microsoft ante la vulnerabilidad EternalBlue, publicadas en:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Una recomendación de emergencia es apagar inmediatamente el sistema si aparece la pantalla de chequeo de disco.

Según lo publicado hasta el momento por diversas fuentes, el ataque se detiene si existe un fichero de nombre perfc en la carpeta c:\windows, que el malware verifica como prueba de infección.

El Equipo de Respuesta a Incidentes Computacionales de Cuba (CuCert) ha emitido una alerta, disponible en http://www.cucert.cu.

Ante la detección de este malware, o cualquier duda, comunicarse de inmediato con la Oficina de Seguridad para las Redes Informáticas, a través de la página Web http://www.cucert.cu/index.php/contactenos

Términos utilizados:

Ransomware: Programa maligno que le impide al usuario el acceso al sistema, a partes o funciones del mismo, o a la información (usualmente cifrándola), y pide un rescate (dinero real o dinero digital) a cambio de quitar esa restricción o entregar la clave para descifrar la información. Su nombre en inglés proviene de ransom (rescate) y ware (software).

Exploit: Código de programa o técnica que aprovecha una vulnerabilidad de un sistema para violar su seguridad, ganar acceso y control, acceder a información, o provocar daño o comportamiento no deseado.

Mimikatz: Herramienta para extraer contraseñas de Windows.

PsExec: Herramienta similar al telnet que posibilita ejecutar procesos en otros sistemas de una red. 

WMIC: Posibilidad que brinda Windows de gestionar su infraestructura WMI (Windows Management Instrumentation) mediante línea de comandos y scripts.

Master Boot Record (MBR): Primer sector del disco utilizado en el proceso de carga o almacenar la tabla de particiones, que incluye información sobre las particiones del sistema.

Español