Recomiendan encriptar archivos en el disco.
Al no existir un mecanismo para darle a la víctima la llave de desencripción que le permita recuperar sus archivos, Forcepoint Security Labs recomendó que en caso de sufrir un ataque del ransomware Petya es importante abstenerse de pagar cualquier tipo de rescate.
Una vez infectado el sistema con Petya se desactiva el correo electrónico para comunicarse con el atacante, por lo que no vale la pena pagar un rescate para reiniciar. Incluso si la víctima paga con Bitcoin, el atacante no tiene manera de compartir la llave.
Una manera de estar preparados para ese tipo de ataques es encriptar los archivos en el disco, aunque pronto podrían estar disponibles herramientas de desencripción de terceros.
En general, la naturaleza de Petya no ha provocado gran sorpresa entre los investigadores de Forcepoint Security Labs, pues ya en octubre de 2016 la firma advirtió en el reporte Freeman sobre los peligros de las actualizaciones de software maliciosas que se estaban distribuyendo a través de los mecanismos automáticos de actualización de software.
Mostrando similitudes importantes con el vector de infección inicial utilizado para distribuir el ransomware Petya, el reporte documentó los peligros que una actualización de software maliciosa tenía para una herramienta de análisis de código legítima.
Las muestras que se analizaron intentaron moverse lateralmente dentro de las redes usando credenciales que fueron robadas de las máquinas de las víctimas junto con una combinación de comandos PSEXEC y WMIC y mediante el uso de las vulnerabilidades de SMBv1. Hasta ahora, no se ha observado que las muestras estén intentando propagarse a otras organizaciones limitándose sólo a las redes locales.
Debido a que la interacción de Petya evita que los gateways de seguridad web o del correo electrónico utilicen vectores de comunicación seguros, Forcepoint Security recomienda tener cuidado con los terceros que llevan las actualizaciones de software a su entorno y tratar de averiguar qué software abandonado (‘abandonware’) podría seguir ejecutándose y aceptando actualizaciones.
Ante el riesgo de propagación de este ransomware, se puede obtener la solución Forcepoint NGFW capaz de detectar y bloquear el uso de la explotación de SMB que utiliza este ataque; si se lanzara una campaña secundaria a través de un sitio web comprometido o de correo electrónico malicioso, las solucines de Forcepoint pueden detectar y proteger contra esa nueva amenaza.
C$T-GM