{"id":1028,"date":"2017-06-27T13:54:53","date_gmt":"2017-06-27T18:54:53","guid":{"rendered":"https:\/\/cert.pa\/?p=1028"},"modified":"2017-06-27T13:54:53","modified_gmt":"2017-06-27T18:54:53","slug":"csirt-panama-aviso-2017-06-nueva-variante-de-ransomware-petya","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=1028","title":{"rendered":"CSIRT Panam\u00e1 Aviso 2017-06 \u2013Nueva variante de Ransomware: Petya"},"content":{"rendered":"<p>CSIRT Panam\u00e1 Aviso 2017-06 \u2013Nueva variante de Ransomware: Petya<\/p>\n<p>Gravedad: Grave<br \/>\nFecha de publicaci\u00f3n: 27 junio 2017<br \/>\nFecha de modificaci\u00f3n: 27 junio 2017<br \/>\n\u00daltima revisi\u00f3n: Revisi\u00f3n A.<br \/>\nFuente: THN, Palo Alto Networks, US CERT<\/p>\n<p>Sistemas Afectados<br \/>\nMicrosoft Windows Vista, Windows Server 2008, Windows Server 2008 R2, Windows 7,  Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10, Windows Server 2016<\/p>\n<p>I. Descripci\u00f3n<br \/>\nPetya conocido tambi\u00e9n como Petrwrap es una variante de ransomware o c\u00f3digo malicioso de rescate de archivos que en vez de cifrar la informaci\u00f3n de manera individual como lo hacen los ransomware comunes, tiene la caracter\u00edstica de cifrar a bajo nivel, tomando control sobre el sector de arranque maestro del sistema operativo (Master Boot Record, MBR por sus siglas en ingl\u00e9s). Al parecer Petrwrap utiliza la herramienta de explotaci\u00f3n &#8220;Eternal Blue&#8221; para lograr las infecciones, el mismo exploit que utiliz\u00f3 WannaCrypt0r\/Wannacry durante su infecci\u00f3n en mayo de 2017.<\/p>\n<p>Los objetivos de ataque de Petrwrap han sido m\u00faltiples, afectando sectores cr\u00edticos como plantas el\u00e9ctricas, aeropuertos, transporte p\u00fablico. Diversas empresas internacionales populares han sido afectadas tambi\u00e9n, como la compa\u00f1\u00eda Danesa de carga Maersk y la empresa de petr\u00f3leo de Rusia Rosnoft.<\/p>\n<p>Pasos para prevenci\u00f3n:<\/p>\n<p>&#8211; Aplicar las actualizaciones de seguridad en MS17-010.<br \/>\n&#8211; Bloquear las conexiones entrantes en el puerto TCP 445.<\/p>\n<p>En caso de infectarse por Petya \/ Petrwrap:<\/p>\n<p>&#8211; Crear y mantener respaldos frecuentes que se encuentren desconectados del Internet para la restauraci\u00f3n de los datos.<\/p>\n<p>II. Impacto<br \/>\nComplejidad de Acceso: Alta.<br \/>\nAutenticaci\u00f3n: No requerida para explotarla.<br \/>\nTipo de impacto: Compromiso total del sistema.<\/p>\n<p>III. Referencia a soluciones, herramientas e informaci\u00f3n<br \/>\na. http:\/\/thehackernews.com\/2017\/06\/petya-ransomware-attack.html<br \/>\nb. https:\/\/researchcenter.paloaltonetworks.com\/2017\/06\/unit42-threat-brief-petya-ransomware\/<br \/>\nc. https:\/\/en.wikipedia.org\/wiki\/EternalBlue<br \/>\nd. https:\/\/www.cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2017-0144<br \/>\ne. https:\/\/technet.microsoft.com\/en-us\/library\/security\/ms17-010.aspx<br \/>\nf. https:\/\/support.microsoft.com\/en-us\/help\/4013389\/title<br \/>\ng. https:\/\/www.us-cert.gov\/ncas\/current-activity\/2017\/06\/27\/Multiple-Petya-Ransomware-Infections-Reported<br \/>\nh. https:\/\/www.wired.com\/story\/petya-ransomware-outbreak-eternal-blue\/<\/p>\n<p>IV. Informaci\u00f3n de contacto<br \/>\nCSIRT PANAMA<br \/>\nAutoridad Nacional para la Innovaci\u00f3n Gubernamental<br \/>\nE-Mail: info@cert.pa<br \/>\nWeb:   http:\/\/www.cert.pa<\/p>\n","protected":false},"excerpt":{"rendered":"<p>CSIRT Panam\u00e1 Aviso 2017-06 \u2013Nueva variante de Ransomware: Petya Gravedad: Grave Fecha de publicaci\u00f3n: 27 junio 2017 Fecha de modificaci\u00f3n: 27 junio 2017 \u00daltima revisi\u00f3n: Revisi\u00f3n A. Fuente: THN, Palo Alto Networks, US CERT Sistemas&#8230;<\/p>\n","protected":false},"author":4,"featured_media":1029,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[],"class_list":["post-1028","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/1028","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1028"}],"version-history":[{"count":1,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/1028\/revisions"}],"predecessor-version":[{"id":1030,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/1028\/revisions\/1030"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/1029"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1028"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1028"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1028"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}