El pasado día 27 de junio InnoTec, empresa de ciberseguridad del Grupo Entelgy, detectó una campaña de ransomware cuyo mecanismo de propagación fue similar al de WannaCry. El malware utilizado: una variante de la familia Petya.
Este ataque se ha detectado ya en empresas ubicadas en Ucrania y en algunas multinacionales con sede en España. El malware cifra el sistema operativo o disco duro y, una vez ha infectado una máquina, puede propagarse por el resto de sistemas conectados a esa misma red. Para el descifrado de los archivos, la campaña solicita un rescate en Bitcoin de 300 dólares.
Como medidas de prevención y mitigación, InnoTec nos hace una serie de recomendaciones a todos los usuarios (pertenezcan o no a entornos corporativos) y que numerosos medios de comunicación han difundido:
- Actualizar a los últimos parches de seguridad de Office y de Windows.
- Extremar las precauciones para evitar acceder a correos o enlaces no legítimos. Para ello se recomienda no abrir ningún enlace, ni descargar ningún fichero adjunto procedente de un correo electrónico que presente cualquier síntoma o patrón fuera de lo considerado normal o habitual. Del mismo modo, conviene no confiar únicamente en el nombre del remitente. El usuario deberá comprobar que el propio dominio del correo recibido es de confianza.
- Activación de "AppLocker" para bloquear la ejecución del programa "psexec" (herramienta incluida en la suite de Microsoft de sysinternals).
- Bloquear algunas direcciones IP y dominios (véase documento adjunto).
- Utilizar la “vacuna” descubierta que podría evitar la ejecución del código en casi todas las variantes analizadas hasta el momento: https://twitter.com/0xAmit/status/879763711199760384
En el caso de haberse visto afectados por esta campaña y no se dispusieran de copias de seguridad, InnoTec recomienda conservar los ficheros que hubieran sido cifrados por la muestra de ransomware antes de desinfectar la máquina, ya que no es descartable que en un futuro aparezca una herramienta que permita descifrar los documentos que se hayan visto afectados.
El mismo día del ataque, TVE realizó una entrevista sobre ciberseguridad a Félix Muñoz, donde explicó que “Es fundamental contar con un equipo muy experimentado en la materia que sea capaz de analizar en tiempo récord toda la información que va llegando de las distintas fuentes y que conozcan en profundidad las herramientas más adecuadas a cada caso”.
Puedes ver la entrevista a Félix pinchando aquí
Algunos ejemplos de medios de comunicación que han publicado esta noticia:
- Expansión
- Economista
- Informativos Telecinco
- EuropaPress - Portal TIC
- Computer World
- TicBeat
- La Razón
- La Vanguardia
- EITB
- El Español
Otras noticias relacionadas en nuestro blog: