{"id":13617,"date":"2017-06-28T09:08:57","date_gmt":"2017-06-28T09:08:57","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=13617"},"modified":"2019-11-22T11:11:55","modified_gmt":"2019-11-22T09:11:55","slug":"expetr-for-b2b","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/expetr-for-b2b\/13617\/","title":{"rendered":"Los objetivos de ExPetr son empresas importantes"},"content":{"rendered":"<p>Estamos presenciando <a href=\"https:\/\/www.kaspersky.es\/blog\/new-ransomware-epidemics\/13581\/\" target=\"_blank\" rel=\"noopener\">una plaga de una nueva variedad de <em>malware<\/em> cifrador<\/a>. Nuestros expertos lo han llamado ExPetr (otros lo llaman Petya, PetrWrap, etc). La diferencia principal con este nuevo <i>ransomware<\/i> es que esta vez los delincuentes han escogido sus objetivos con gran precisi\u00f3n. Muchas de las v\u00edctimas son empresas, no consumidores.<\/p>\n<p>Lo peor es que, en esta ocasi\u00f3n, muchas instalaciones con infraestructura cr\u00edtica est\u00e1n entre las v\u00edctimas de este <i>malware<\/i>. Por ejemplo, se ha informado de que algunos vuelos del aeropuerto de <a href=\"https:\/\/threatpost.com\/complex-petya-like-ransomware-outbreak-worse-than-wannacry\/126561\/\" target=\"_blank\" rel=\"noopener nofollow\">Kiev Boryspil han sufrido retrasos a causa del ataque<\/a>. Y todav\u00eda peor: se ha informado de que el sistema de monitorizaci\u00f3n de radiaci\u00f3n de la <a href=\"http:\/\/edition.cnn.com\/2017\/06\/27\/europe\/chernobyl-cyber-attack\/index.html?iid=EL\" target=\"_blank\" rel=\"noopener nofollow\">planta nuclear de Chernobyl<\/a> ha estado ca\u00eddo temporalmente por la misma raz\u00f3n.<\/p>\n<p>\u00bfPor qu\u00e9 sigue el <i>malware<\/i> cifrador atacando sistemas de infraestructura cr\u00edtica? O bien porque est\u00e1n directamente conectados con redes centrales corporativas o porque tienen acceso directo a Internet.<\/p>\n<h2>\u00bfQu\u00e9 hacer?<\/h2>\n<p>Al igual que con <a href=\"https:\/\/www.kaspersky.es\/blog\/wannacry-for-b2b\/10524\/\" target=\"_blank\" rel=\"noopener\">WannaCry<\/a>, tenemos dos problemas: la penetraci\u00f3n inicial del <i>malware<\/i> en la infraestructura de una empresa y su proliferaci\u00f3n en ella. Ambos problemas deben solucionarse separadamente.<\/p>\n<h3>Penetraci\u00f3n inicial<\/h3>\n<p>Nuestros expertos indican algunos caminos por los que el <i>malware<\/i> se cuela en la red. En algunos casos, hizo uso de webs maliciosas o los usuarios recibieron el <i>malware<\/i> camuflado como si de una actualizaci\u00f3n del sistema se tratara. En otros casos, la infecci\u00f3n se propag\u00f3 mediante actualizaciones de <i>software<\/i> de terceros (como por ejemplo mediante el <i>software<\/i> ucraniano M.E.Doc). En otras palabras, no hay ni un solo punto de entrada predecible que proteger.<\/p>\n<p>No obstante, tenemos algunas recomendaciones para prevenir que el <i>malware<\/i> penetre en tu infraestructura:<\/p>\n<ul>\n<li>Instruye a tus empleados para que nunca abran adjuntos sospechosos ni hagan clic en los enlaces de los correos electr\u00f3nicos (parecer\u00e1 obvio, pero las personas siguen haci\u00e9ndolo).<\/li>\n<li>Aseg\u00farate de que todos los sistemas conectados a Internet est\u00e9n equipados con soluciones de seguridad actualizadas que incorporen componentes de an\u00e1lisis de comportamiento.<\/li>\n<li>Comprueba que los componentes importantes de las soluciones de seguridad est\u00e1n activos (en los productos de Kaspersky Lab, aseg\u00farate de que est\u00e1n activos tanto la red Kaspersky Security Network como el motor de comportamiento System Watcher).<\/li>\n<li>Actualiza las soluciones de seguridad regularmente.<\/li>\n<li>Emplea herramientas para controlar y monitorizar las soluciones de seguridad desde una \u00fanica consola administrativa (y no dejes que los empleados modifiquen los ajustes).<\/li>\n<\/ul>\n<p>Como medida de protecci\u00f3n adicional (en especial si no usas los productos de Kaspersky Lab), puedes instalar nuestra herramienta gratuita <a href=\"https:\/\/go.kaspersky.com\/IB_AntiRansonwareTool_SOC_2017.html?utm_source=smm_kd&amp;utm_medium=es_kd_o_170519\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Anti-Ransomware Tool<\/a>, compatible con muchas otras soluciones de seguridad.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kart\">\n<h3>Propagaci\u00f3n en la red<\/h3>\n<p>Una vez que se introduce en un solo sistema, ExPetr es mucho mejor que WannaCry para propagarse en una red local porque dispone de capacidades extensas para ese objetivo en concreto. En primer lugar, utiliza, al menos, dos <i>exploits<\/i>: un EternalBlue modificado (tambi\u00e9n usado por WannaCry) y EternalRomance (otro <i>exploit<\/i> del puerto TCP 445). En segundo lugar, cuando infecta un sistema en el que un usuario tiene privilegios de administrador, empieza a distribuirse mediante el Instrumental de administraci\u00f3n de Windows o mediante la herramienta de control remoto de sistemas PsExec.<\/p>\n<p>Para prevenir que el <i>malware<\/i> acceda a tu red (y, en especial, a la de los de sistemas de infraestructura cr\u00edtica), deber\u00edas:<\/p>\n<ul>\n<li>Aislar los sistemas que requieren una conexi\u00f3n activa de Internet en otro segmento de red.<\/li>\n<li>Dividir la red sobrante en subredes o subredes virtuales con conexiones restringidas y conectar solo los sistemas que la requieran para procesos tecnol\u00f3gicos.<\/li>\n<li>Seguir el consejo que los expertos de Kaspersky Lab ICS CERT <a href=\"https:\/\/ics-cert.kaspersky.com\/reports\/2017\/06\/22\/wannacry-on-industrial-networks\/\" target=\"_blank\" rel=\"noopener\">dieron tras el ataque de WannaCry<\/a> (los cuales son, en particular, para empresas industriales).<\/li>\n<li>Asegurarte de que las actualizaciones de seguridad cr\u00edticas de Windows est\u00e1n instaladas. Muy importante ya que la <a href=\"https:\/\/www.kaspersky.es\/blog\/wannacry-windows-update\/10552\/\" target=\"_blank\" rel=\"noopener\">MS17-010<\/a> cierra las vulnerabilidades que utiliza EternalBlue y EternalRomance.<\/li>\n<li>Utilizar servidores de respaldo aislados del resto de la red y evitar la conexi\u00f3n con unidades remotas en los servidores de respaldo.<\/li>\n<li>Prohibir la ejecuci\u00f3n del archivo llamado <i>perfc.dat<\/i> mediante el Control de Aplicaciones de Kaspersky Endpoint Security for Business o mediante Windows AppLocker.<\/li>\n<li>En sistemas que contengan m\u00faltiples sistemas integrados, utilizar soluciones de seguridad especializadas como Kaspersky Embedded Security Systems.<\/li>\n<li>Configura el modo de denegaci\u00f3n por defecto como medida de protecci\u00f3n adicional en los sistemas que sea posible (por ejemplo, en ordenadores utilitarios con <i>software<\/i> que rara vez se modifique), lo que se puede realizar mediante el Control de aplicaciones incluido en Kaspersky Endpoint Security for Business.<\/li>\n<\/ul>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/vzu20QttlJs?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>Como siempre, recomendamos el uso de la estrategia de protecci\u00f3n multicapa, incorporando actualizaciones de <i>software<\/i> autom\u00e1ticas (incluidas las del sistema operativo), un componente <i>antiransomware<\/i> y un componente que vigile todos los procesos del sistema operativo.<\/p>\n<h2>Pagar o no pagar<\/h2>\n<p>Finalmente, aunque en general no recomendamos el pago del rescate, comprendemos que algunas empresas piensen que no les queda m\u00e1s remedio. Sin embargo, si ExPetr ya ha afectado a tu informaci\u00f3n, no deber\u00edas pagar bajo ning\u00fan concepto.<\/p>\n<p>Nuestros expertos han descubierto que este <i>malware<\/i> no tiene mecanismos para guardar el ID de instalaci\u00f3n. Sin \u00e9l, el delincuente no puede extraer la informaci\u00f3n necesaria para el cifrado. En resumen, son incapaces de ayudar a sus v\u00edctimas a recuperar sus datos.<\/p>\n<h3><strong>Webinar de emergencia sobre Petya\/ExPetr<\/strong><\/h3>\n<p>Para ayudar a las empresas a comprender el <em>malware<\/em> ExPetr y a defenderse de \u00e9l, nuestros expertos han llevado a cabo un webinar de emergencia. Juan Andres Guerrero-Saade, investigador senior de seguridad en nuestro equipo de an\u00e1lisis e investigaci\u00f3n global (GReAT), y\u00a0 Matt Suiche, de Comae Technologies, expusieron la informaci\u00f3n actualizada sobre esta amenaza y explicaron por qu\u00e9 no es un <em>ransomware<\/em>, sino un <em>wiper<\/em> usado para sabotear.<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/b4RXy7Qja3I?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>ExPetr (tambi\u00e9n conocido como NotPetya) tiene como objetivo a objetos de infraestructura cr\u00edtica.<\/p>\n","protected":false},"author":700,"featured_media":13618,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2755],"tags":[378,2270,215,2271,2277,2236,2278,1702,401,586,2223],"class_list":{"0":"post-13617","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-amenazas","10":"tag-brote","11":"tag-empresas","12":"tag-epidemia","13":"tag-expetr","14":"tag-malware-cifrador","15":"tag-notpetya","16":"tag-petya","17":"tag-ransomware","18":"tag-troyanos","19":"tag-wannacry"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/expetr-for-b2b\/13617\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/expetr-for-b2b\/8718\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/expetr-for-b2b\/4736\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/expetr-for-b2b\/11726\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/expetr-for-b2b\/10752\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/expetr-for-b2b\/13654\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/expetr-for-b2b\/17896\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/expetr-for-b2b\/3342\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/expetr-for-b2b\/17343\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/expetr-for-b2b\/9223\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/expetr-for-b2b\/6994\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/expetr-for-b2b\/13798\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/expetr-for-b2b\/17329\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/expetr-for-b2b\/17538\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/empresas\/","name":"empresas"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/13617","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=13617"}],"version-history":[{"count":7,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/13617\/revisions"}],"predecessor-version":[{"id":20085,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/13617\/revisions\/20085"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/13618"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=13617"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=13617"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=13617"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}