Actualización sobre los ataques del malware Petya
Como sucedió de manera reciente con WannaCrypt, nos enfrentamos de nuevo con un malicioso ataque en forma de ransomware, Petya. Hubo demasiada información conflictiva reportada sobre los ataques, que incluían varias confusiones acerca de piezas de datos no relacionados y engañosos, por lo que los equipos de Microsoft se movilizaron a investigar y analizar, lo que permitió que el equipo de Malware Protection liberara firmas para detectar y proteger contra el malware.
De acuerdo con nuestra investigación, el malware fue entregado de manera inicial a través de una actualización de servicio por parte de una compañía ucraniana (M.E.doc) para su aplicación de finanzas, la cual es popular en Ucrania y Rusia. Una vez que sucedió el primer ataque, el ransomware utilizó múltiples herramientas de su arsenal para esparcirse a lo largo de las redes impactadas. De no repararse, el malware utilizará vulnerabilidades como CVE-2017-0144 y CVE-2017-0145 para propagarse por todas las redes. Microsoft liberó el MSFT-010 en marzo el cual lideró las vulnerabilidades que explotaron por parte de Petya. Si esa técnica no es efectiva, el malware utilizará otros métodos como recolectar las credenciales y atravesar las redes para infectar otras máquinas. (Pueden leer el análisis del Microsoft Malware Protection Center, aquí para más detalles.)
Le recomendamos a nuestros clientes que aún no instalan la actualización de seguridad MS17-010, que lo hagan lo más pronto posible. Si por alguna razón no pueden realizar la actualización, les sugerimos una solución alternativa para reducir los ataques: deshabilitar SMBv1 con las instrucciones documentadas en Microsoft Knowledge Base Article 2696547. En adición, consideren implementar técnicas como la segmentación de redes cuentas menos privilegiadas que limitarán en el futuro el impacto de este tipo de ataques de malware. Para aquellos que utilizan Windows 10, aprovechen las capacidades como Device Guard para bloquear los dispositivos y permitir que sólo las aplicaciones confiables funcionen con prevención efectiva contra ataques de malware. Por último, consideren adoptar Windows Defender Advanced Threat Protection, el cual detecta de manera automática comportamientos que son utilizados por este nuevo ransomware.
Los últimos meses han ilustrado esto en el paisaje que plasman las amenazas hoy, y los cibercriminales van a continuar con la alteración de sus ataques y defenderse contra eso va a requerir una cantidad igual de vigilancia y esfuerzo. Microsoft está comprometido a trabajar con socios y clientes para combatir los maliciosos esfuerzos de estos criminales.
Vamos a continuar nuestra investigación y vamos a tomar las acciones adecuadas para proteger a nuestros clientes.
Philip Misner,
Gerente del Grupo de Seguridad.