[Update: 29 Junio 2017]
De nuevo y como siempre una nueva variante del malware de cifrado de archivos. Win32/Diskcoder.Petya (ESET), ademas elimina los datos !!!
De nuevo RANSOMWARE QUE NO LO ES (WIPER)
De nuevo y como siempre una nueva variante del malware de cifrado de archivos. Win32/Diskcoder.Petya (ESET), ademas elimina los datos !!!
Ya circulan reportes sobre un nuevo ataque de ransomware en Ucrania, los cuales podrían estar relacionado con la familia Petya. Actualmente este ataque está siendo detectado por ESET como Win32/Diskcoder.C Trojan. Por ejemplo el periodista Christian Borys, tuiteó que el ciberataque “habría” golpeado a bancos, compañías eléctricas y postales, entre otras. Inclusive, al parecer el gobierno de Ucrania estaría bajo ataque.
Además Borys ha tuiteado una imagen publicada en Facebook por un delegado del primer ministro, de una máquina cifrada. A esto se suma que el Banco Nacional de Ucrania ha subido un mensaje a su sitio web en el que se advierte a los otros bancos sobre el ataque de ransomware.
Forbes afirma que mientras que parecen haber similitudes con WannaCryptor, con muchos otros describiendo el escenario muy similar a dicho ransomware, es muy probable que se trate de una variante de Petya.
España tambien ha sido nuevamente otra victima mas de este Malware en desarrollo donde el CCN-CERT publica la noticia:
https://www.ccn-cert.cni.es/seguridad-al-dia/avisos-ccn-cert/4667-ccn-cert-av-04-17-identificado-ataque-de-ransomware-contra-varias-multinacionales-con-sede-en-espana.html
https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4679-punto-de-situacion-informacion-actualizada-del-ataque-de-ransomware-2.html
En Colombia se alza la alerta nuevamente, y el CC-CSIRT publica un nuevo post donde dan recomendaciones a seguir:
https://cc-csirt.policia.gov.co/Publicaciones/recomendaciones_ante_el_malware_petya_por_el_ccncert
Este Malware y como muchos otros llegan por correos electrónicos, con indicaciones a dar clic en enlaces externos o con algún archivo adjunto infectado.
Como he dicho en un POST anterior
http://blog.siyicolombia.com/2017/05/ramsonware-wannacrypt-que-hacer.html
son las mismas recomendaciones a tener en cuenta:
Para mas detalle ingresar al POST: http://blog.siyicolombia.com/2017/05/ramsonware-wannacrypt-que-hacer.html
Las investigaciones de Kaspersky y Comae.io indican que este malware no es RANSOMWARE si no un WIPER un LIMPIADOR!!!
A la izquierda, podemos ver la versión actual de Petia claramente consiguió reescrito para ser un limpiador y no un ransomware real.
Esto significa que la sección de MBR del disco es deliberadamente más escrito por el nuevo gestor de arranque
No más dirección de correo electrónico para el pago
Por otra parte, la dirección de correo electrónico de pago no es accesible más si las víctimas pasarían a enviar los pagos.
Por otra parte, la dirección de correo electrónico de pago no es accesible más si las víctimas pasarían a enviar los pagos.
Para mas informacion de la investigacion entra a:
https://blog.comae.io/petya-2017-is-a-wiper-not-a-ransomware-9ea1d8961d3b
En conclusión, el atacante tomó un ransomware existente (petya) que re-envasado con nuevo codigo, esta sobre-escribiendo totalmente la información, eliminandola impiendo descifrarla.
https://blog.comae.io/petya-2017-is-a-wiper-not-a-ransomware-9ea1d8961d3b
En conclusión, el atacante tomó un ransomware existente (petya) que re-envasado con nuevo codigo, esta sobre-escribiendo totalmente la información, eliminandola impiendo descifrarla.
¿Pero porque sigue pasando?
Aun teniendo al mundo en alerta sobre actualizar el software o hardware, estar al dia de los parches de seguridad del sistema operativo (windows, linux, mac, andorid, ios, etc.) siguen y siguen cayendo empresas sobre este tipo de ataques masivos globales.
A hoy me puedo dar cuenta de que se sigue obviando el eslabón débil "el ser humano" y con esto no me refiero al usuario final, me refiero a todos en general, gerente, administradores de TI, oficiales de seguridad, administradores de redes, en fin a todo el mundo... al decir esa frase de que el ser humano es el eslabón mas débil, no es referirnos nosotros como expertos de seguridad a los usuarios finales y que no pertenecen a TI, hay que incluir a TODO EL MUNDO, me he dado cuenta de que las áreas de TI o informática tienen demasiados privilegios, y cuando les pregunto el porque, dicen: "a es que nosotros ya sabemos, tenemos todo bloqueado" pero en el área de TI siguen teniendo acceso a YouTube, sitios no permitios en la empresa, bajan software libre (ojo no es gratis es libre) y aun así se preguntan porque siguen cayendo usuarios....
Si no empezamos por casa "Por T.I" los demás van a ser caso omiso, porque como siempre dicen los usuarios de áreas distintas "es que en informática tienen acceso a todo, y tengo un amigo que me da acceso"....
Esto NO se debe hacer compañeros, tengamos mayor precaución, tengamos presente de que la información tiene un valor ALTO para nuestra organización o nuestra vida personal, seamos mas CONSCIENTES CARAJO!!!!!, como siempre digo, la mayoria de los ataques por no decir el 100% pueden ser evitados si todo absolutamente todos estamos conscientes de la importancia de la seguridad de la información, y no solo eso, debemos día a día capacitar, enseñar, sensibilizar porque esto es como el deporte, si no practicas, pierdes!.
Saludos, os espero que haya gustado el POST.
Comparte esta información con compañeros, amigos y familiares.
Ademas en SIYI CO, estamos dispuestos a colaborar, si tienes dudas de como protegerte no dudas en contactarnos. Te asesoramos GRATIS, agenda tu cita Ya!
https://siyico.blogspot.com.co/p/agendar-cita.html
