Investigaciones de la compañía sobre la ola de ataques de ransomware dirigidos a organizaciones alrededor del mundo, sugieren que no se trata de una variante del ransomware Petya, tal como se ha informado públicamente, sino que se trata de un nuevo ransomware que no se había visto anteriormente.
Pese a que cuenta con varias secuencias similares a Petya, explicó, posee funcionalidades completamente distintas, y lo ha nombrado ExPetr.
La información de telemetría de la empresa señala que alrededor de 2,000 usuarios han sido atacados hasta el momento. Organizaciones en Rusia y Ucrania han sido las más afectadas, con ataques también registrados en Polonia, Italia, Reino Unido, Alemania, Francia, Estados Unidos y varios países más.
La firma calificó el hecho como un ataque complejo que involucra varios vectores de ofensiva, y confirmó que los criminales han utilizado exploits modificados de EternalBlue y EternalRomance para la propagación dentro de la red corporativa.
Kaspersky Lab detecta la amenaza como:
–UDS:DangerousObject.Multi.Generic
–Trojan-Ransom.Win32.ExPetr.a
–HEUR:Trojan-Ransom.Win32.ExPetr.gen
El motor de detección System Watcher detecta la amenaza como:
–PDM:Trojan.Win32.Generic
–PDM:Exploit.Win32.Generic
Según la empresa, en la mayoría de los casos registrados hasta el momento, detectó proactivamente el vector inicial de infección a través de su motor de comportamiento System Watcher. Asimismo, señaló estar trabajando en mejorar la detección de comportamiento anti-ransomware para identificar cualquier versión futura que pueda surgir y para determinar si es posible descifrar la información bloqueada en el ataque, con la intención de desarrollar una herramienta de descifrado.
Entre las recomendaciones de la firma para las empresas destacó:
–Actualizar software de Windows: los usuarios de XP y 7 pueden protegerse a sí mismos instalando el parche de seguridad MS17-010.
–Tener la información respaldada.
Para los clientes corporativos de Kaspersky Lab ésta aconsejo:
–Comprobar que todos los mecanismos de protección estén activados de acuerdo a las recomendaciones; y que los componentes KSN y System Watcher (habilitados de forma predeterminada) no están deshabilitados.
–Como medida adicional, al utilizar el componente de ‘Application Startup Control’ de Endpoint Security, puede evitar la ejecución del archivo con el nombre Perfc.dat y bloquear la ejecución de la utilidad PSExec (parte de Sysinternals Suite).
–Configurar y habilitar el mecanismo Default Deny del componente de Application Startup Control de Endpoint Security.
De no contar con productos de la marca en los dispositivos, la firma sugirió utilizr la función AppLocker de Windows OS para deshabilitar la ejecución de cualquier archivo que porte el nombre “perfc.dat”, así como la utilidad PSExec de la suite Sysinternals.
