A+ R A-
HOT NEWS
Aviso 700x100 interno1

Se alerta sobre una evolución del ransomware Petya, con el nuevo virus Nyetya

User Rating:  / 0
PoorBest 

a3sec-petya-RansomwareEste malware es una variante más de WannaCry y Petya.

 

Colombia.

El Centro de Seguridad y Vigilancia Digital de A3SEC ha sido alertado de un ataque masivo del Ransonware NYETYA, denominado así por Cisco Talos - Comprehensive Threat Intelligence.

 

NYETYA es un virus que se identificó el 28 de junio de 2017, haciendo su primera aparición en organizaciones gubernamentales de Ucrania, su ejecución es llevada a cabo a través de una actualización de un software de gestión de impuestos llamado MeDoc.

 

Se ha identificado que este malware se ha expandido a diferentes países, como: España, Francia, Dinamarca, Reino Unido, Rusia y EE.UU. Igualmente, como las anteriores versiones de esta famila de Ransomware, su comportamiento es similar al momento de sobrescribir master boot record (MBR) y cifrarlo.   

 

Lo curioso de esta variante de PETYA, es que NYETYA no tiene un fin financiero, puesto que el sitio donde se solicita hacer el pago para la clave de cifrado esta caída, además su comportamiento sobre el footprinting del sistema infectado es mucho más profunda.

 

El ransomware una vez haya sido exitoso o no, al momento de hacer la escala de privilegios a través del Adjust Token Privilege, pasa a sobreescribir el master boot record; después el malware inicia un mapeo de red a través del puerto 139-TCP NetBIOS, para así encontrar posibles máquinas vulnerables a CVE-2017-0199, especialmente a EternalBlue y EternalRomance.

 

Una vez el malware esté dentro de la máquina, creará un archivo en los temporales basado en una herramienta llamada Mimikatz la cual recolectará credenciales de usuarios desde la memoria.

 

Estos son los sistemas afectados:

  • Windows XP
  • Windows 2003
  • Windows 2008
  • Microsoft Windows Vista SP2
  • Windows Vista x64 Edition Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows 7 for 32-bit Systems Service Pack 1
  • Windows 7 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
  • Windows 8.1 for 32-bit Systems
  • Windows 8.1 for x64-based Systems
  • Windows RT 8.1
  • Windows Server 2012 and R2
  • Windows 10
  • Windows Server 2016
  • Microsoft Office 2010 Service Pack 2 (32-bit editions)
  • Microsoft Office 2010 Service Pack 2 (64-bit editions)

 

Estas son algunas acciones recomendadas de nuestro experto Jorge Imúes, director de operaciones de A3SEC para implementar en las empresas.

 

·   Identificar si hay equipos vulnerables con InsightVM (aka Nexpose) utilizando la firma CVE-2017-0143, Puede descargar una versión de prueba de InsightVM desde https://www.rapid7.com/products/insightvm/download/virtual-appliance/, en formato OVA, y luego montarla en cualquier sistema de virtualización, incluido Virtualbox. Recibirá en su correo un serial para el periodo de prueba.

 

ü  Borrar todo los archivos en %TEMP%, lo más frecuentemente posible, puede acceder a ella con la combinación de teclas (win + r) y escriba %TEMP% y borre todo lo que se encuentre dentro de esa carpeta.

ü  Seguir instrucciones acerca como fortalecer el puerto 139 TCP/UDP (ver link)

ü  Crear un archivo en la ruta C:\Windows\perfc.dat y establecerle permisos de solo lectura.

ü  Instalar en los equipos vulnerables el boletín MS17-010 (Kb 4013389).

ü  Si ya fue víctima del ataque manténgase actualizado a través de las redes sociales sobre los avances que hay para solucionar el problema #Nyetya.

 

 

Fuente: Grupo A3SEC Colombia y Novva Comunicaciones SAS


informacion relacionada

Aviso 700x100 interno1

Aviso 700x100 interno1

ultimas noticias

Aviso 700x100 interno2
Aviso 400x150 interno2  Aviso 300x150 interno5

Aviso 300x300 interno2

Aviso 300x150 interno4

Aviso 300x150 interno3

Aviso 300x600 home

Aviso 300x150 interno2

Síguenos en:


fb  twitter  yt  linkedin     SoundCloud  

Aviso 1100x60