Cómo protegerme del Ransomware Peyta

El nuevo ataque tipo Ransomware, utilizando el virtus Peyta en este caso y bajo las siguientes hipótesis:

  • El código dañino se replica aprovechando ETERNALBLUE y DOUBLEPULSAR, al igual que sucedía con WannaCry.
  • El código dañino aprovecha dos nuevas vulnerabilidades de Microsoft, con códigos CVE-2017-8543 y CVE-2017-8464.
  • Adicionalmente, el código incorpora capacidades de replicación a través de phishing, en concreto con un correo electrónico con asunto “New Mail”.

En nuestro Departamento de Seguridad se tienen y tenían identificadas y cubiertas las vulnerabilidades que utiliza Peyta, tanto a nivel de protección de perímetro de red a través de nuestros IDS e IPS, como a través de nuestros sistemas antispam y antivirus para correo electrónico.

Si quiere más protección solicite aquí más información sobre como mejorar su Sistema AntiSpam del Servidor.

 

RECOMENDACIONES DE SEGURIDAD Y PROTECCIÓN:

  • Aplicar del máximo nivel de parcheado en entornos Windows (desde S2 Grupo CERT se emitió una nota informativa este mismo mes alertando de la criticidad de dichos parches).
  • Bloquear las comunicaciones entre su organización y terceros en los puertos 138, 139 y 445 (tanto TCP como UDP) y teniendo en cuenta medios de acceso como las VPN site-to-site o de acceso remoto, o herramientas de administración remota como Teamviewer, Logmein, etc.
  • Bloquear las comunicaciones locales (dentro de la red corporativa) en los puertos anteriormente expuestos, prestando especial atención al bloqueo del tráfico hacia estos puertos y hacia los servidores donde resida la información de la organización.
  • Deshabilitar las macros en documentos de Microsoft Office.
  • Realizar una copia de seguridad extraordinaria de la información relevante y mantenerla dicha copia aislada de la red corporativa.
  • Apagar de los equipos de usuario si no van a ser utilizados y no está seguro del estado de dichos equipos (actualizaciones, software instalado, etc)
  • Desplegar reglas extraordinarias de detección y/o bloqueo en los sistemas de seguridad corporativos de los que disponga. Si no dispone de ningún sistema de seguridad, debe considerar seriamente su contratación.

 

REFERENCIAS TÉCNICAS

https://www.ccn-cert.cni.es/seguridad-al-dia/avisos-ccn-cert/4667-ccn-cert-av-04-17- identificado-ataque-de-ransomware-contra-varias-multinacionales-con-sede-en- espana.html

https://technet.microsoft.com/en-us/library/security/4025685.aspx

[/et_pb_text][et_pb_text admin_label=”Texto” background_layout=”light” text_orientation=”left” use_border_color=”off” border_color=”#ffffff” border_style=”solid” background_position=”top_left” background_repeat=”repeat” background_size=”initial”]

¿Necesitas ayuda con tu WordPress?

Dejar un comentario