17 Recomendaciones ante el Ramsoware Petya

Image for post
Image for post

Recomendaciones:

2.- Afinar las políticas del Antispam (instalado localmente o como servico) para ayude a identificar y bloquear malware, phishing sobre correo electrónico.

3.- Escanear correo electrónico de entrada, salida para detectar y bloquear archivos ejecutables con destino usuarios finales a nivel de Gateway y usuario final.

4.- Habilitar un Scan automático AntiVirus, AntiMalware a nivel de PC, Servidor, UTM (Scan Antivirus para Trafico de Navegación HTTP, HTTPS, DNS), etc.

5.- Implementar el principio: “Mínimo Privilegio/Menor Autoridad”. Los usuarios no debería tener acceso como Super usuario (Administrador/Windows, root/Unix, Linux, sa,admin/Cisco/Huawei ) para sistemas operativos, Aplicaciones, Dispositivos de red, Firewalls, etc.

6.- Desabilitar Macros/Scripts en Microsof Office.

7.- Desarrollar un programa de Concientización en los usuarios finales para que no ingresen en links maliciosos, no abran adjuntos con archivos de dudosa procedencia.

8.- Los usuarios finales deben tener un canal “Oficial” de reporte ante un Incidente de Seguridad 24x7 debería existir punto de contacto oficial: repore.Incidente@empresa.com y número de teléfono.

9.- Regularmente realizar un Pentesting a tus servicios públicos, red LAN/WAN por lo menos 1 vez al año.

10.- Probar tus Backups, y asegura que estén trabajando adecuadamente, los backups desarrollarlos en dispositivos que no estén conectados a la red.

11.-Utilizar Firewalls o IDS Host a nivel de Servidores para protección de un ataque desde Internet y desde la red Interna por un empleado.

12.- Desabilita servicios innecesarios en tus sistemas que no usas, para el caso de Ramsoware WannaCry y Petya desabilitar SMBv1.

13.- En tu firewall perimetral, bloquea TCP 445, TCP/UDP 137,138, y TCP 339 tráfico de Internet hacia la red de la empresa.

14.- Segmentar la red de usuarios con la red de los servidores de la empresa, tratando de que si hay una intrusión este aislado el incidente.

15.- Hardenización de PCs, Servidores Críticos, Red Switches de Core, Switches de Distribución, apoyarse del fabricante, soporte del integrador para mejorar la seguridad de cada sistema y mejores practicas de la Industria por ejemplo SANS Reading Room, Grupos de Usuarios de los sistemas que usan en tu empresa.

16.- Realizar administración de los equipos críticos fuera de banda, por si se cae la comunicación principal

17.- Contar con herramientas de Monitoreo de los fabricantes y Open Source que permitan ver el Trafico, Conexiones, Intentos de Ataques de Red, Falsos Positivos, Logs de los Servidores, Firewall, IPS/IDS, PCs, etc, Es decir tener un Panel de Control con la Visibilidad de la red de la Empresa.

El factor humano (7), la Tarea más difícil, pero es el eslabón más débil.

Fuentes, buenas practicas independientes del fabricantes Comerciales:

  • SANS Reading Room
  • Grupo de Usuarios en Internet de los fabricantes que usas.
  • NITS National Institute of Standards and Technology US Deparment of Commerce- USA,
  • Incibe Instituto Nacional de CiberSeguridad de España.
  • CERT Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil
  • Iniciativa nomoreramsoware, https://www.nomoreransom.org/

Descripción del Ramsoware Petya:

  • Propaga usando el exploit SMB/EternalBlue (Exploits publicados por el grupo de Hackers ShadowBrokers), y parchado por el Microsoft Security Bulletin MS17–010 — Critical y robando credenciales de usuario de Windows, escaneando puerto 445 de SMBv1 y ejecutando el payload malicioso.
  • Instala una versión modificada de MimiKatz, el cual es una herramienta que es usada para obtener credenciales de usuario y acceder a otros sistemas.
  • Los archivos del sistema afectado son cifrados con AES-128bits.
  • Modifica MBR(Master Boot Record) y habilita la encriptación de MFT(Master File Table) y luego reinicia la máquina.
Image for post
Image for post

Diferencias entre WannaCry y Petya:

Image for post
Image for post

Información adicional, archivos vinculados:

Image for post
Image for post
Image for post
Image for post

e84b.tmp

Image for post
Image for post
Image for post
Image for post

Fuentes:

Written by

Blog de Ciberseguridad, Hacking, Recomendaciones de Protección y Buenas Practicas para las Empresas.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store