Pantallazo de un sistema atacado por Nyetya

El malware se comporta como un gusano extendiéndose lateralmente por la red afectada, al igual que WannaCry, el ransomware que infectó sistemas de todo el mundo en mayo. Sin embargo, a diferencia de WannaCry, de momento se propaga internamente y no escaneando Internet a través de componentes externos como el e-mail.

Eutimio Fernández

Para Eutimio Fernández, director de Seguridad en Cisco España, “en este mundo hiper-conectado, la cuestión no es si una organización será atacada, sino cuándo”.

Por ello, las empresas “deben adoptar una defensa integrada en la red, que elimine la complejidad de las soluciones puntuales y capaz de auto-defenderse mediante herramientas automatizadas, operando bajo el modelo de detectar una vez y proteger en todas partes y durante todas las etapas de los ataques: antes, durante y después”.

Infección y vías de propagación

Una vez entra en la red, Nyetya utiliza tres mecanismos para extenderse de forma automática: mediante la vulnerabilidad conocida como Eternal Blue (protocolo SMB de Microsoft) que ya fue explotada por WannaCry en mayo; Psexec, una herramienta legítima de administración de Windows; y WMI, un componente legítimo de Windows.

Esta nueva variante de ransomware cifra el MBR (Master Boot Record) del equipo infectado -algo similar a la lista de contenidos del disco duro- pidiendo un rescate en bitcoins a cambio de recuperar los datos cifrados.

Los análisis iniciales de Talos señalan que el ciber-ataque comenzó en Ucrania, posiblemente a través de una actualización de software para el programa de gestión de impuestos denominado MeDoc, utilizado por un gran número de organizaciones ucranianas o que tienen relación comercial con Ucrania. El ataque ha afectado también a organizaciones en España, Francia, Dinamarca, Reino Unido, Rusia y EE. UU.

Protección y recomendaciones

Las soluciones de seguridad de red de Cisco (Firepower NGFW, Firepower NGIPS y Meraki MX) ya tenían actualizadas las reglas (desde que se conoció la vulnerabilidad en abril) para detectar y detener esta actividad maliciosa en las conexiones SMB.

Igualmente, las soluciones de seguridad de protección frente a malware avanzado de Cisco (AMP, Advanced Malware Protection) también están actualizadas con la información sobre este ransomware para detectarlo y bloquearlo.

Las recomendaciones de Cisco para que las organizaciones puedan protegerse frente a cualquier variante de ransomware y otro tipo de malware son:

• Asegurarse de utilizar sistemas operativos con soporte y actualizados, parcheando de forma efectiva los terminales
• Utilizar software anti-malware y recibir y aplicar las actualizaciones de forma regular
• Tener un plan de recuperación frente a desastres con copias de seguridad de datos off-line

Hay que destacar que Cisco ya apuntaba en su Informe Semestral de Ciber-seguridad, publicado en julio de 2016,  que veríamos nuevas variantes de ransomware aún más destructivo capaz de extenderse por sí mismo (auto-replicarse) y secuestrar redes enteras.

El Informe también señala que las cepas de ransomware modular podrán cambiar sus tácticas rápidamente para maximizar su eficacia. Por ejemplo, los futuros ataques de ransomware ocultarán su detección limitando el uso de CPU y evitando acciones ‘command-and-control’, extendiéndose con mayor rapidez. Más información en www.cisco.com y en el blog de Talos en  https://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.HTML