Expertos de líder global en ciberinteligencia revelan cómo acciona y lo que se ha identificado de la última acción del malware
Organizaciones primordialmente de Australia, Estados Unidos, Polonia, Holanda, Noruega, Rusia, Ucrania, India, Dinamarca y España, han reportado interrupciones a sus sistemas en las últimas 24 horas. De acuerdo con FireEye, la empresa de seguridad guiada por inteligencia, las acciones se atribuyen a una variante del ransomware Petya, que puede haber sido diseminado a través de EternalBlue, usado durante el ataque de WannaCry del último mes.
“Esta actividad destaca la importancia para las empresas y gobiernos de asegurar sus sistemas contra ciberataques. El panorama de amenazas ha cambiado y es importante que cambien las prácticas de ciberseguridad para adecuarlas a las amenazas”, dijo Robert Freeman, vicepresidente para Latinoamérica. “Desde una estrategia robusta de respaldo, segmentación de redes y navegación aérea, donde sea apropiada, además de otras defensas contra ransomware, las organizaciones se pueden defender por sí mismas de las operaciones de diseminación y corregir rápidamente las infecciones causadas por ella”, agregó.
Reportado desde 2016 por la empresa, Petya es un tipo completo de rescate. “Petya es una familia atípica de ransomware, en tanto que como malware no encripta archivos individuales de los sistemas de las víctimas, pero invalida el registro del master boot (MBR) y encripta la tabla del archivo maestro (MFT) que vuelve al sistema inoperativo hasta que se pague el rescate. Este malware contiene un cuentagotas, un inicializador customizado y un pequeño núcleo de Windows que corre rutinas adicionales de encriptación.
De acuerdo con los investigadores en la empresa líder global de ciberinteligencia, todavía está bajo escrutinio si esta amenaza es nueva o una extensión de las conocidas, ya que las campañas de ransomware son de ocurrencia regular en este tiempo. El análisis inicial de los artefactos y el tráfico en la red de la víctima indican que una versión modificada de la vulnerabilidad EternalBlue SMB fue usada, al menos en parte, para propagarla a otros sistemas junto con los comandos WMI, MimiKatz y PSExec. Los pasos del ataque están bajo evaluación y la información será actualizada en tiempo real.
FireEye ha establecido un Evento de Protección a la Comunidad y continúa investigando estos reportes y la actividad de la amenaza involucrada en incidentes disruptivos. Es un servicio (FaaS) enfocado en monitorear el ambiente global de los clientes de la empresa.
“Mientras que la detección de FireEye aprovecha el análisis de comportamiento de técnicas maliciosas, nuestro equipo ha creado una regla YARA para ayudar a las organizaciones retroactivamente buscando en sus ambientes a este malware, así como para detectar futuras actividades”, agregó Robert Freeman. “Nuestro equipo está enfocado en las técnicas de intrusión que son críticas para la operación de malware: uso del drive SMB, lenguaje de demanda de rescate, funciones subyacentes y APIs, así como utilerías de sistema usadas para movimientos laterales”, finalizó.