El Equipo del CCN-CERT alerta ante la detección de una campaña de ransomware que afecta a sistemas Windows, cifrando el sistema operativo o disco y cuya propagación es similar a la de WannaCry; es decir, una vez ha infectado una máquina puede propagarse por el resto de sistemas conectados a esa misma red.
El malware utilizado en la campaña, una variante de la familia Petya, se ha detectado ya en empresas ubicadas en Ucrania y en algunas multinacionales con sede en España.
Para el descifrado de los archivos, la campaña solicita un rescate en Bitcoin de 300 dólares.
En este ataque es necesaria la interacción del usuario a través de un vector de infección, probablemente basado en el correo electrónico (spear-phishing).
El ataque recibido en el e-mail puede explotar alguna vulnerabilidad de Microsoft Office que, según diversas investigaciones podría ser la CVE-2017-0199. Seguidamente se propagaría a través de infecciones en las carpetas compartidas en la red de la Organización afectada. Además, intenta utilizar las vías de infección del exploit que aprovecha la vulnerabilidad de Microsoft MS 17-010. En el caso de que el sistema estuviera parcheado ante esta vulnerabilidad, el malware utiliza una alternativa basada en la ejecución de la aplicación propietaria del sistema Windows “Psexec” en carpetas compartidas sobre el sistema víctima.
En las pruebas realizadas en sistemas Windows 10 con privilegios de administrador, el código dañino es detectado y bloqueado por Windows Defender.
Como medidas de prevención y mitigación, el CCN-CERT recomienda lo siguiente:
Actualizar el sistema operativo y todas las soluciones de seguridad, así como tener el cortafuegos personal habilitado.
Los accesos administrativos desde fuera de la organización sólo deben llevarse a cabo mediante protocolos seguros.
Mantener una conducta de navegación segura, empleando herramientas y extensiones de navegador web completamente actualizado.
Activar la visualización de las extensiones de los ficheros para evitar ejecución de código dañino camuflado como ficheros legítimos no ejecutables.
Deshabilitar las macros en los documentos de Microsoft Office y otras aplicaciones similares.
El CCN-CERT dispone de dos Informes de Medidas de seguridad contra el ransomware, en los que se incluyen pautas y recomendaciones generales y en los que se detallan los pasos del proceso de desinfección y las principales herramientas de recuperación de los archivos, en este tipo de ataques:
CCN-CERT IA-03/17 Medidas Seguridad Ransomware
Tal y como se indica en el informe de amenazas sobre ransomware, efectuar el pago por el rescate del equipo no garantiza que los atacantes envíen la utilidad y/o contraseña de descifrado, sólo premia su campaña y les motiva a seguir distribuyendo masivamente este tipo de código dañino.
En el caso de haberse visto afectados por esta campaña y no dispusieran de copias de seguridad, se recomienda conservar los ficheros que hubieran sido cifrados por la muestra de ransomware antes de desinfectar la máquina, ya que no es descartable que en un futuro apareciera una herramienta que permitiera descifrar los documentos que se hubieran visto afectados.
Más información en los comunicados del CCN-Cert: https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert.html
