Página 2 de 2 PrimerPrimer 12
Resultados 11 al 14 de 14

Tema: Telefónica sufre un ciberataque

  1. #11
    Sin vida social Avatar de suntea
    Ubicación
    Madrid, ES
    Mensajes
    386

    Predeterminado Re: Telefónica sufre un ciberataque

    Esto debería tener su propio hilo, PetrWrap (o NotPetya como lo llama Kaspersky) es técnicamente más evolucionado que Wannacry, aunque sea algo menos dañino.

    Además de la vulnerabilidad de SMBv1 explota otras tres opciones: WMIC y la ejecución remota mediante PSEXEC.
    • Lo primero se puede deshabilitar pero NO es recomendable; sin el servicio "Instrumental de administración de Windows" (Winmgmt) se deshabilita indirectamente el cortafuegos de Windows y es casi peor el remedio que la enfermedad.
    • Lo segundo sí es recomendable deshabilitar, los recursos compartidos administrativos. Es una modificación de registro de Windows, puedes volcar esto a un fichero nuevo con extensión .reg para iniciarlo

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\LanmanServer\Parameters]
    "AutoShareServer"=dword:00000000
    Haz doble click sobre el fichero, importa los cambios al registro y reinicia.

    La tercera opción que emplea para contagiar es una vunerabilidad de Office ya parcheada relacionada con las macros (que también aparece en Wordpad de Windows Vista, 7 y sus versiones server), combinada con el correo electrónico. Deshabilitar el uso de macros NO evita el problema.


    Actualizado:
    • No es 100% seguro pero parece que el malware tiene integrado un killswitch de manera que si lo encuentra se desactiva. Es un fichero pero no hay consenso sobre cuál es exactamente el nombre correcto, así que como no perjudica hacerlo se recomienda crear los siguientes ficheros con cualquier contenido dentro:
      c:\Windows\perfc.dat
      c:\Windows\perfc.dll
      c:\Windows\perfc
      (el último sin extensión)
      Y darle a las propiedades de cada uno para marcarlos como sólo lectura.
      Es una solución endeble pero, como digo, no cuesta nada hacerlo.
    • Vigilad la aparición de un par de ficheros: %PROGRAMDATA%\dllhost.dat y %Windir%\dllhost.dat en vuestro sistemas, ambos han sido referenciados como el psexec.exe que deja este malware.



    Más información aquí.
    Última edición por suntea; 28/06/2017 a las 05:41

  2. #12

    Predeterminado Re: Telefónica sufre un ciberataque

    Cita Iniciado por suntea Ver mensaje
    Esto debería tener su propio hilo, PetrWrap (o NotPetya como lo llama Kaspersky) es técnicamente más evolucionado que Wannacry, aunque sea algo menos dañino.

    Además de la vulnerabilidad de SMBv1 explota otras tres opciones: WMIC y la ejecución remota mediante PSEXEC.
    • Lo primero se puede deshabilitar pero NO es recomendable; sin el servicio "Instrumental de administración de Windows" (Winmgmt) se deshabilita indirectamente el cortafuegos de Windows y es casi peor el remedio que la enfermedad.
    • Lo segundo sí es recomendable deshabilitar, los recursos compartidos administrativos. Es una modificación de registro de Windows, puedes volcar esto a un fichero nuevo con extensión .reg para iniciarlo


    Haz doble click sobre el fichero, importa los cambios al registro y reinicia.

    La tercera opción que emplea para contagiar es una vunerabilidad de Office ya parcheada relacionada con las macros (que también aparece en Wordpad de Windows Vista, 7 y sus versiones server), combinada con el correo electrónico. Deshabilitar el uso de macros NO evita el problema.


    Actualizado:
    • No es 100% seguro pero parece que el malware tiene integrado un killswitch de manera que si lo encuentra se desactiva. Es un fichero pero no hay consenso sobre cuál es exactamente el nombre correcto, así que como no perjudica hacerlo se recomienda crear los siguientes ficheros con cualquier contenido dentro:

      Y darle a las propiedades de cada uno para marcarlos como sólo lectura.
      Es una solución endeble pero, como digo, no cuesta nada hacerlo.
    • Vigilad la aparición de un par de ficheros: %PROGRAMDATA%\dllhost.dat y %Windir%\dllhost.dat en vuestro sistemas, ambos han sido referenciados como el psexec.exe que deja este malware.



    Más información aquí.
    Aunque hay muchas casas que están informando que se está propagando con el mismo método del Wannacry (aprovechando el exploit Eternalblue), como bien dices utiliza además otros métodos, vía WMIC obteniendo un volcado de las credenciales mediante "mimikatz" (con el módulo LSAdump), y por eso se han infectado ordenadores que ya estaban parcheados contra Eternalblue o que directamente no ejecutan SMB.

    Por otra parte este Petya es una variante que tendría el bootloader típico que encripta la MFT, mientras que el dropper sería de creación propia y el modo de uso del ransomware sería personalizado, del tipo Misha (Mischa), aunque pueden aparecer diferentes variantes en estos casos de forma rápida porque una vez se conoce todo esto hay más autores que pueden hacer pequeñas modificaciones y aprovecharse de la situación.

    En cuanto al tema del Kill switch hay expertos que son más escépticos en este caso de Petya. Si bien para Wannacry sí surgió efecto, en este caso no debería de servir de mucho porque el daño ya estará hecho. Esto se debe a que el modo de propagación de Wannacry y Petya son distintos.

    - Wannacry empezó por unos pocos ordenadores infectados que van escaneando y buscando otros ordenadores para infectar siguiendo el fecto de bola de nieve
    - Petya en este ataque se cree que infectó masivamente ordenadores a través del hackeo de un programa de contabilidad bastante conocido en la zona del Este (a través de una actualización realmente). Ocurre que no es fácil (ni nadie quiere) confirmar esto, aunque cibersevicios de la policía de uno de estos paises creo que lo cornfirmaron ya.

    Y en el caso de Petya, para una posible recuperación de archivos es importante NO Reiniciar el ordenador, ya que una vez estemos infectados intenta sobreescribir el MBR (encripta la MFT) lo que provoca un BSOD (pantallazo) y la gente lo que hace es reiniciar. En este momento si no reiniciamos aún podríamos recuperar los archivos del disco duro. Despues del primer reinicio será cuando realmente comience el cifrado de los archivos y aparezca el mensaje de texto y ya será más difícil la recuperación de archivos a menos que se pague (nunca se debe de hacer) o alguna casa antivirus o experto consiga una decrypter tool efectiva (algo que suele bastante difícil y por lo que hay que esperara muchas veces durante meses).

    Aún así es difícil afirmar algo con rotundidad porque incluso podrían ya estar activas diferentes versiones utilizando el mismo método de propagación u otros vía email, etc y se mezclan informaciones.

    Un saludo.

  3. #13
    Sin vida social Avatar de suntea
    Ubicación
    Madrid, ES
    Mensajes
    386

    Predeterminado Re: Telefónica sufre un ciberataque

    Eso último que dices es lo complicado. Se está viendo información contradictoria entre especialistas sobre cuál puede ser el killswitch, cuáles son los ficheros que emplea... incluso métodos de infección. Hispasec ha sacado hoy un boletín que me ha dejado muy descuadrado. Lo mismo ocurre con este informe de Microsoft.

    Como haya diferentes variantes con pequeñas diferencias -lo cuál no sería nada difícil- y viendo la vida que ha tenido como ransomware al darles de baja el correo electrónico de contacto... esto es malicia pura y dura. Y habría que empezar a preguntar por qué y quién es el más perjudicado.
    Todo esto empieza a cobrar sentido.
    Última edición por suntea; 29/06/2017 a las 00:47

  4. #14

    Predeterminado Re: Telefónica sufre un ciberataque

    Cita Iniciado por suntea Ver mensaje
    Eso último que dices es lo complicado. Se está viendo información contradictoria entre especialistas sobre cuál puede ser el killswitch, cuáles son los ficheros que emplea... incluso métodos de infección. Hispasec ha sacado hoy un boletín que me ha dejado muy descuadrado. Lo mismo ocurre con este informe de Microsoft.

    Como haya diferentes variantes con pequeñas diferencias -lo cuál no sería nada difícil- y viendo la vida que ha tenido como ransomware al darles de baja el correo electrónico de contacto... esto es malicia pura y dura. Y habría que empezar a preguntar por qué y quién es el más perjudicado.
    Todo esto empieza a cobrar sentido.
    Por eso lo decía. No está muy claro cual fue el vector de infección ni la forma de propagación (ya que han podido ser varias o estarse mezclando información de distintas variantes o que la misma variante haya utilizado varias).

    Lo último que leí ayer es que realmente esta variante no se trataba de un ransomware típico, sino que incluye realmente un "wiper" ya que realmente el usuario afectado en ningún caso podría recuperar sus archivos una vez encriptados.

    Tampoco provoca un BSOD como creía ayer y dicen que simula una pantalla negra con un "chkdsk".

    Pero vamos, que creo que se están mezclando muchas informaciones.

    Lo mejor es:

    Hacer backups regularmente
    Tener el SO actualizado
    Proteger el MBR con algo tipo MBRFilter
    Hacer uso de alguna utilidad de prevención antiransomware que además incluye la protección del MBR
    No reiniciar si sucede un BSOD (algo que es difícil si no sospechas que puedas haberte infectado)
    Renombrar el archivo "vssadmin.exe" y utilizar los puntos de restauración a través de la WMIC (hay un artículo de ello en Bleepingcomputer que explica por qué es bueno hacer esto)
    Tener una buena suite antivirus con cortafuegos

    Y un poco de cuidado

    Un saludo.

Página 2 de 2 PrimerPrimer 12

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •