viernes, 4 de agosto de 2017

Nyetya: El nuevo secuestrador en la Industria 4.0



Los líderes de negocio todavía están intentando combatir y restablecer los daños causados por WannaCry, y un nuevo ataque multipaís denominado “Nyetya” volvió a golpearlos. Esta vez vemos un ataque de alcance similar a WannaCry, pero de distinto comportamiento, que parece haber comenzado en Europa y que ha atacado sistemas bancarios, de transporte, y de operaciones petroleras. También se ha diseminado a organizaciones estadounidenses específicamente en una compañía farmacéutica.

Hasta este momento, esto es lo que sabemos a través de nuestro equipo de Cisco en Talos, que monitorea las amenazas de seguridad global:
“Ha surgido una nueva variante de malware que es bastante distinta de Petya. La gente se ha referido a ella por varios nombres como Petrwrap y GoldenEye. Talos está identificando esta nueva variante de malware como Nyetya. Nuestra investigación actual nos lleva a creer que la muestra aprovecha EternalBlue y WMI para hacer un movimiento lateral dentro de una red afectada. Este comportamiento es diferente al de WannaCry, ya que no parece ser un componente de escaneo externo. Además, puede haber un vector psexec, que también se utiliza para propagarse internamente.
La identificación del vector inicial ha demostrado ser más desafiante. Observando los comportamientos efectuados, la falta de un mecanismo conocido y viable de propagación externa, creemos que es posible que algunas infecciones puedan asociarse con sistemas de actualización de software para un paquete de contabilidad de impuestos ucraniano llamado MeDoc. Talos sigue investigando el vector inicial de este malware”.
Las actualizaciones a este reporte ocurrirán a medida que se obtenga más información, por lo que recomiendo ampliamente monitorear de manera periódica los nuevos datos en el blog publicado por el grupo de Talos.
Cómo reducir el riesgo en su fábrica
En mi blog sobre WannaCry, presenté cinco maneras de reducir el riesgo. Estos mismos conceptos se aplican cuando se trata de ransomware y puede consultaros directamente en este link. Además puede consultar aquí más información sobre Nyetya y las distintas variantes que se desprenden de este ataque.