Los objetivos de ExPetr son empresas importantes

Empresas

Estamos presenciando una plaga de una nueva variedad de malware cifrador. Nuestros expertos lo han llamado ExPetr (otros lo llaman Petya, PetrWrap, etc). La diferencia principal con este nuevo ransomware es que esta vez los delincuentes han escogido sus objetivos con gran precisión. Muchas de las víctimas son empresas, no consumidores.

Lo peor es que, en esta ocasión, muchas instalaciones con infraestructura crítica están entre las víctimas de este malware. Por ejemplo, se ha informado de que algunos vuelos del aeropuerto de Kiev Boryspil han sufrido retrasos a causa del ataque. Y todavía peor: se ha informado de que el sistema de monitorización de radiación de la planta nuclear de Chernobyl ha estado caído temporalmente por la misma razón.

¿Por qué sigue el malware cifrador atacando sistemas de infraestructura crítica? O bien porque están directamente conectados con redes centrales corporativas o porque tienen acceso directo a Internet.

¿Qué hacer?

Al igual que con WannaCry, tenemos dos problemas: la penetración inicial del malware en la infraestructura de una empresa y su proliferación en ella. Ambos problemas deben solucionarse separadamente.

Penetración inicial

Nuestros expertos indican algunos caminos por los que el malware se cuela en la red. En algunos casos, hizo uso de webs maliciosas o los usuarios recibieron el malware camuflado como si de una actualización del sistema se tratara. En otros casos, la infección se propagó mediante actualizaciones de software de terceros (como por ejemplo mediante el software ucraniano M.E.Doc). En otras palabras, no hay ni un solo punto de entrada predecible que proteger.

No obstante, tenemos algunas recomendaciones para prevenir que el malware penetre en tu infraestructura:

  • Instruye a tus empleados para que nunca abran adjuntos sospechosos ni hagan clic en los enlaces de los correos electrónicos (parecerá obvio, pero las personas siguen haciéndolo).
  • Asegúrate de que todos los sistemas conectados a Internet estén equipados con soluciones de seguridad actualizadas que incorporen componentes de análisis de comportamiento.
  • Comprueba que los componentes importantes de las soluciones de seguridad están activos (en los productos de Kaspersky Lab, asegúrate de que están activos tanto la red Kaspersky Security Network como el motor de comportamiento System Watcher).
  • Actualiza las soluciones de seguridad regularmente.
  • Emplea herramientas para controlar y monitorizar las soluciones de seguridad desde una única consola administrativa (y no dejes que los empleados modifiquen los ajustes).

Como medida de protección adicional (en especial si no usas los productos de Kaspersky Lab), puedes instalar nuestra herramienta gratuita Kaspersky Anti-Ransomware Tool, compatible con muchas otras soluciones de seguridad.

Propagación en la red

Una vez que se introduce en un solo sistema, ExPetr es mucho mejor que WannaCry para propagarse en una red local porque dispone de capacidades extensas para ese objetivo en concreto. En primer lugar, utiliza, al menos, dos exploits: un EternalBlue modificado (también usado por WannaCry) y EternalRomance (otro exploit del puerto TCP 445). En segundo lugar, cuando infecta un sistema en el que un usuario tiene privilegios de administrador, empieza a distribuirse mediante el Instrumental de administración de Windows o mediante la herramienta de control remoto de sistemas PsExec.

Para prevenir que el malware acceda a tu red (y, en especial, a la de los de sistemas de infraestructura crítica), deberías:

  • Aislar los sistemas que requieren una conexión activa de Internet en otro segmento de red.
  • Dividir la red sobrante en subredes o subredes virtuales con conexiones restringidas y conectar solo los sistemas que la requieran para procesos tecnológicos.
  • Seguir el consejo que los expertos de Kaspersky Lab ICS CERT dieron tras el ataque de WannaCry (los cuales son, en particular, para empresas industriales).
  • Asegurarte de que las actualizaciones de seguridad críticas de Windows están instaladas. Muy importante ya que la MS17-010 cierra las vulnerabilidades que utiliza EternalBlue y EternalRomance.
  • Utilizar servidores de respaldo aislados del resto de la red y evitar la conexión con unidades remotas en los servidores de respaldo.
  • Prohibir la ejecución del archivo llamado perfc.dat mediante el Control de Aplicaciones de Kaspersky Endpoint Security for Business o mediante Windows AppLocker.
  • En sistemas que contengan múltiples sistemas integrados, utilizar soluciones de seguridad especializadas como Kaspersky Embedded Security Systems.
  • Configura el modo de denegación por defecto como medida de protección adicional en los sistemas que sea posible (por ejemplo, en ordenadores utilitarios con software que rara vez se modifique), lo que se puede realizar mediante el Control de aplicaciones incluido en Kaspersky Endpoint Security for Business.

Como siempre, recomendamos el uso de la estrategia de protección multicapa, incorporando actualizaciones de software automáticas (incluidas las del sistema operativo), un componente antiransomware y un componente que vigile todos los procesos del sistema operativo.

Pagar o no pagar

Finalmente, aunque en general no recomendamos el pago del rescate, comprendemos que algunas empresas piensen que no les queda más remedio. Sin embargo, si ExPetr ya ha afectado a tu información, no deberías pagar bajo ningún concepto.

Nuestros expertos han descubierto que este malware no tiene mecanismos para guardar el ID de instalación. Sin él, el delincuente no puede extraer la información necesaria para el cifrado. En resumen, son incapaces de ayudar a sus víctimas a recuperar sus datos.

Webinar de emergencia sobre Petya/ExPetr

Para ayudar a las empresas a comprender el malware ExPetr y a defenderse de él, nuestros expertos han llevado a cabo un webinar de emergencia. Juan Andres Guerrero-Saade, investigador senior de seguridad en nuestro equipo de análisis e investigación global (GReAT), y  Matt Suiche, de Comae Technologies, expusieron la información actualizada sobre esta amenaza y explicaron por qué no es un ransomware, sino un wiper usado para sabotear.