¿Es este el nuevo panorama en Ciberseguridad?

Los informes de noticias continúan hablando sobre el más reciente ataque masivo global de ransomware. Esta vez, el detonante parece ser un ransomware llamado Petya. SonicWall Capture Labs identificó las variantes Petya originales en 2016. Sin embargo, esta vez parece ser liberado por Eternal Blue, uno de los exploits que se filtró de la NSA en abril. Este es el mismo exploit que se utilizó en el ataque WannaCry.

Una vez más, la carrera de armas cibernéticas sigue evolucionando. Si se debe resumir esto hasta su esencia, lo que ahora vemos es que los ciberdelincuentes combinan los exploits y los ataques de maneras creativas que no son necesariamente nuevas, pero siguen siendo bastante efectivas. Al igual que en la preparación de cócteles, los ingredientes son bien conocidos, pero la mezcla exacta puede ser completamente nuevo.

Los Ataques

Una ola de ciberataques golpeó este martes de forma simultánea a grandes empresas y servicios públicos en Ucrania y Rusia, y se propagó a multinacionales de otros países, recordando el ‘modus operandi’ de los ataques extorsivos de mayo.

El ataque, que comenzó contra empresas ucranianas y la petrolera rusa Rosneft, afectó luego a otras compañías mundiales como el transportista marítimo danés Maersk, el grupo británico de publicidad WPP, el francés Saint-Gobain y el laboratorio farmacéutico estadounidense Merck, según fuentes de esas empresas.

Todavía no se ha establecido ningún vínculo oficial entre esos diferentes ataques pero, según varias empresas afectadas, una petición de rescate de 300 dólares aparecía en la pantalla de los ordenadores.

Varios expertos en ciberseguridad atribuyeron los ataques al virus “Petrwrap”, una versión modificada del ‘ransomware’ Petya utilizado por piratas informáticos el año pasado. Los ‘ramsomware’ son programas malintencionados que cifran los archivos informáticos y fuerzan a sus usuarios a pagar una suma de dinero, a menudo en forma de moneda virtual, para poder recuperar su uso.

El 12 de mayo, otro ransomware, el virus Wannacry, afectó a cientos de miles de ordenadores en el mundo entero, y paralizó los servicios de salud británicos, así como las fábricas del fabricante automovilístico francés Renault. Sus autores reclamaban un rescate para desbloquear los aparatos.

Vuelos aplazados

En Kiev, una portavoz indicó que los sistemas de monitoreo de radiación en Chernóbil quedaron afectados por el virus y tuvieron que ser apagados.

En un comunicado, el Banco central de Ucrania indicó haber “señalado a los bancos y a los demás agentes del mercado financiero un ataque informático externo perpetrado hoy contra bancos ucranianos y empresas públicas y comerciales“.  A raíz de estos ataques, “los bancos tienen problemas para atender a sus clientes y llevar a cabo operaciones“, añadió el Banco Nacional de Ucrania.  La página web del gobierno ucraniano también experimentaba dificultades por la tarde.  El metro de Kiev indicó, por su parte, en Facebook que no podía aceptar pagos con tarjeta bancaria “por culpa del ciberataque”.  Asimismo, todas las pantallas de información de vuelos, excepto una, dejaron de funcionar en el aeropuerto Borispol de Kiev, declaró la dirección en la red Facebook, sin descartar que algunos vuelos sean aplazados a causa de ello.

En Francia, no se podía acceder a las páginas web oficiales de Saint-Gobain. “Saint-Gobain ha sido objeto de un ciberataque. Por medida de seguridad, con el fin de proteger nuestros datos, hemos aislado nuestros sistemas informáticos. Estamos resolviéndolo“, declaró un portavoz del grupo francés de materiales a la AFP.

La mayoría de nuestros sistemas informáticos están averiados en nuestras filiales por culpa del virus“, indicó por su parte una portavoz del grupo danés AP Moeller-Maersk, Concepción Boo Arias.

El laboratorio farmacéutico estadounidense Merck aseguró que “su sistema informático mundial” había sufrido el ataque, convirtiéndose en la primera víctima conocida en Estados Unidos.

Recomendaciones para los clientes de SonicWall

Como cliente de SonicWall, asegúrese de que su cortafuegos de próxima generación tiene una suscripción activa de Security Gateway actual, para recibir protección automática en tiempo real de ataques conocidos de ransomware como Petya. Gateway Security incluye antivirus de puerta de enlace (GAV), prevención de intrusiones (IPS), filtrado de bots y control de aplicaciones. Este conjunto de tecnología:

  • Incluye firmas contra Petya (parte de GAV)
  • Protege contra vulnerabilidades descritas en el boletín de seguridad de Microsoft MS17-010 (parte de IPS)

Dado que SonicWall Email Security utiliza las mismas firmas y definiciones que Gateway Security, podemos bloquear los correos electrónicos que contengan la ruta inicial a la infección. Para bloquear correos electrónicos maliciosos, asegúrese de que todos los servicios de seguridad de correo electrónico estén actualizados. Dado que el 65% de todos los ataques de ransomware ocurren a través de correos electrónicos de phishing, esto también necesita ser un enfoque importante cuando se da entrenamiento de sensibilización de seguridad.

Debido a que más del 50% del malware está encriptado, como una práctica recomendada, implemente siempre SonicWall Deep Packet Inspection de todo el tráfico SSL / TLS (DPI SSL). Esto permitirá a los servicios de seguridad de SonicWall identificar y bloquear todos los ataques de ransomware conocidos. Habilitar DPI SSL también permite al cortafuegos examinar y enviar archivos desconocidos al servicio de captura avanzada de amenazas (ATP) de SonicWall Capture para análisis de sandbox de varios motores. Le recomendamos que despliegue Capture ATP para descubrir y detener variantes de ransomware desconocidas. Debido a la rápida proliferación devariantes de malware, SonicWall aprovecha algoritmos de aprendizaje profundo para proporcionar protección automatizada contra amenazas conocidas y de día cero. La combinación de SonicWall Capture Threat Network y SonicWall Capture ATP sandboxing proporciona la mejor defensa contra los nuevos ataques híbridos emergentes como Petya.

Conozca mas sobre la seguridad de SonicWall

Con SonicWall cualquier organización puede anticiparse y detener los ataques informáticos antes que sucedan, no importa la aplicación utilizada, siempre estará protegiendo en cualquier dispositivo y a cualquier usuario; lo mejor es que todo se logra con una implementación sencilla.

Share