Tap here to download the Cisco News Mobile App for the best Cisco Network mobile experience!

La nueva variante de ransomware ‘Nyetya’ afecta a sistemas de todo el mundo
Una nueva variante de malware comenzó a afectar ayer a múltiples organizaciones de todo el mundo. Talos (la división de inteligencia de ciber-seguridad de Cisco) la ha identificado como el ransomware ‘Nyetya’, al mantener diferencias con la variante Petya, Petrwrap o GoldenEye, como también se ha denominado.
La nueva variante de ransomware ‘Nyetya’ afecta a sistemas de todo el mundo READ FULL ARTICLE

La nueva variante de ransomware ‘Nyetya’ afecta a sistemas de todo el mundo

Cisco Spain

28 Jun 2017
  • Press Release

  • 2393

  • Save

  • Thought Leadership, Security

Una nueva variante de malware comenzó a afectar ayer a múltiples organizaciones de todo el mundo. Talos (la división de inteligencia de ciber-seguridad de Cisco) la ha identificado como el ransomware ‘Nyetya’, al mantener diferencias con la variante Petya, Petrwrap o GoldenEye, como también se ha denominado.

El malware se comporta como un gusano extendiéndose lateralmente por la red afectada, al igual que WannaCry, el ransomware que infectó sistemas de todo el mundo en mayo. Sin embargo, a diferencia de WannaCry, de momento se propaga internamente y no escaneando Internet a través de componentes externos como el e-mail.

Infección y vías de propagación

Una vez entra en la red, Nyetya utiliza tres mecanismos para extenderse de forma automática: mediante la vulnerabilidad conocida como Eternal Blue (protocolo SMB de Microsoft) que ya fue explotada por WannaCry en mayo; Psexec, una herramienta legítima de administración de Windows; y WMI, un componente legítimo de Windows.

Esta nueva variante de ransomware cifra el MBR (Master Boot Record) del equipo infectado -algo similar a la lista de contenidos del disco duro- pidiendo un rescate en bitcoins a cambio de recuperar los datos cifrados.

Los análisis iniciales de Talos señalan que el ciber-ataque comenzó en Ucrania, posiblemente a través de una actualización de software para el programa de gestión de impuestos denominado MeDoc, utilizado por un gran número de organizaciones ucranianas o que tienen relación comercial con Ucrania. El ataque ha afectado también a organizaciones en España, Francia, Dinamarca, Reino Unido, Rusia y EE. UU.

Protección y recomendaciones

Las soluciones de seguridad de red de Cisco (Firepower NGFW, Firepower NGIPS y Meraki MX) ya tenían actualizadas las reglas (desde que se conoció la vulnerabilidad en abril) para detectar y detener esta actividad maliciosa en las conexiones SMB.

Igualmente, las soluciones de seguridad de protección frente a malware avanzado de Cisco (AMP, Advanced Malware Protection) también están actualizadas con la información sobre este ransomware para detectarlo y bloquearlo.

Las recomendaciones de Cisco para que las organizaciones puedan protegerse frente a cualquier variante de ransomware y otro tipo de malware son:

  • Asegurarse de utilizar sistemas operativos con soporte y actualizados, parcheando de forma efectiva los terminales.
  • Utilizar software anti-malware y recibir y aplicar las actualizaciones de forma regular.
  • Tener un plan de recuperación frente a desastres con copias de seguridad de datos off-line.

Cisco ya apuntaba en su Informe Semestral de Ciber-seguridad (julio 2016) que veríamos nuevas variantes de ransomware aún más destructivo capaz de extenderse por sí mismo (auto-replicarse) y secuestrar redes enteras. El Informe también señala que las cepas de ransomware modular podrán cambiar sus tácticas rápidamente para maximizar su eficacia. Por ejemplo, los futuros ataques de ransomware ocultarán su detección limitando el uso de CPU y evitando acciones ‘command-and-control’, extendiéndose con mayor rapidez.

Talos continúa investigando esta nueva infección. Puede accederse a las últimas informaciones a través de este blog.

Declaraciones de apoyo

  • Eutimio Fernández, director de Seguridad en Cisco España: “En este mundo hiper-conectado, la cuestión no es si una organización será atacada, sino cuándo. Las organizaciones deben adoptar una defensa integrada en la red, que elimine la complejidad de las soluciones puntuales y capaz de auto-defenderse mediante herramientas automatizadas, operando bajo el modelo de detectar una vez y proteger en todas partes y durante todas las etapas de los ataques: antes, durante y después”.

Acerca de Cisco

Cisco (NASDAQ: CSCO) es el líder mundial en TI que desde 1984 ha contribuido al funcionamiento de Internet. Nuestros empleados, soluciones y partners ayudan a la sociedad a conectarse de forma segura y a aprovechar hoy las oportunidades digitales del futuro. Descubre más en newsroom.cisco.com o cisco.es/prensa y en Twitter: @Cisco o twitter.com/ciscoprspain.

Also post on Post
0 Comments