CSIRT Panamá Aviso 2017-06 –Nueva variante de Ransomware: Petya

Posted By: CSIRT Panamá June 27, 2017

Gravedad: Grave
Fecha de publicación: 27 junio 2017
Fecha de modificación: 27 junio 2017
Última revisión: Revisión A.
Fuente: THN, Palo Alto Networks, US CERT

Sistemas Afectados
Microsoft Windows Vista, Windows Server 2008, Windows Server 2008 R2, Windows 7, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10, Windows Server 2016

I. Descripción
Petya conocido también como Petrwrap es una variante de ransomware o código malicioso de rescate de archivos que en vez de cifrar la información de manera individual como lo hacen los ransomware comunes, tiene la característica de cifrar a bajo nivel, tomando control sobre el sector de arranque maestro del sistema operativo (Master Boot Record, MBR por sus siglas en inglés). Al parecer Petrwrap utiliza la herramienta de explotación “Eternal Blue” para lograr las infecciones, el mismo exploit que utilizó WannaCrypt0r/Wannacry durante su infección en mayo de 2017.

Los objetivos de ataque de Petrwrap han sido múltiples, afectando sectores críticos como plantas eléctricas, aeropuertos, transporte público. Diversas empresas internacionales populares han sido afectadas también, como la compañía Danesa de carga Maersk y la empresa de petróleo de Rusia Rosnoft.

Pasos para prevención:

– Aplicar las actualizaciones de seguridad en MS17-010.
– Bloquear las conexiones entrantes en el puerto TCP 445.

En caso de infectarse por Petya / Petrwrap:

– Crear y mantener respaldos frecuentes que se encuentren desconectados del Internet para la restauración de los datos.

II. Impacto
Complejidad de Acceso: Alta.
Autenticación: No requerida para explotarla.
Tipo de impacto: Compromiso total del sistema.

III. Referencia a soluciones, herramientas e información
a. http://thehackernews.com/2017/06/petya-ransomware-attack.html
b. https://researchcenter.paloaltonetworks.com/2017/06/unit42-threat-brief-petya-ransomware/
c. https://en.wikipedia.org/wiki/EternalBlue
d. https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0144
e. https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
f. https://support.microsoft.com/en-us/help/4013389/title
g. https://www.us-cert.gov/ncas/current-activity/2017/06/27/Multiple-Petya-Ransomware-Infections-Reported
h. https://www.wired.com/story/petya-ransomware-outbreak-eternal-blue/

IV. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Web: http://www.cert.pa

S	M	T	W	T	F	S
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30