Declaración de Kaspersky Lab acerca de los ataques del ransomware ‘ExPetr’

Los analistas de Kaspersky Lab están investigando la nueva ola de ataques de ransomware dirigidos a organizaciones alrededor del mundo. Nuestros hallazgos preliminares sugieren que no se trata de una variante del ransomware Petya, tal como se ha informado públicamente, sino que se trata de un nuevo ransomware que no se había visto anteriormente. Pese a que cuenta con varias secuencias similares a Petya, posee funcionalidades completamente distintas. Lo hemos nombrado ExPetr.

La información de telemetría de la empresa señala que alrededor de 2,000 usuarios han sido atacados hasta el momento. Organizaciones en Rusia y Ucrania han sido las más afectadas y también hemos registrado ataques en Polonia, Italia, Reino Unido, Alemania, Francia, Estados Unidos y varios países más.

Este parece ser un ataque complejo que involucra varios vectores de ataque. Podemos confirmar que los criminales han utilizado exploits modificados de EternalBlue y EternalRomance para la propagación dentro de la red corporativa.

Kaspersky Lab detecta la amenaza como:

UDS:DangerousObject.Multi.Generic
Trojan-Ransom.Win32.ExPetr.a
HEUR:Trojan-Ransom.Win32.ExPetr.gen

Nuestro motor de detección System Watcher detecta la amenaza como:

PDM:Trojan.Win32.Generic
PDM:Exploit.Win32.Generic

En la mayoría de los casos registrados hasta el momento, Kaspersky Lab detectó proactivamente el vector inicial de infección a través de su motor de comportamiento System Watcher. También estamos trabajando en mejorar la detección de comportamiento anti-ransomware para identificar proactivamente cualquier versión futura que pueda surgir.

Los expertos de Kaspersky Lab continúan examinando este tema para determinar si es posible descifrar la información bloqueada en el ataque, con la intención de desarrollar una herramienta de descifrado tan pronto como sea posible.

Recomendamos que todas las empresas actualicen su software de Windows: los usuarios de Windows XP y Windows 7 pueden protegerse a sí mismos instalando el parche de seguridad MS17-010.

También recomendamos a todas las organizaciones que se aseguren de tener la información respaldada. El respaldo apropiado y oportuno de su información puede ser utilizado para reestablecer los archivos originales después de experimentar una pérdida de información.

También se recomienda a los clientes corporativos de Kaspersky Lab que:

  • Compruebe que todos los mecanismos de protección estén activados de acuerdo a las recomendaciones; y que los componentes KSN y System Watcher (habilitados de forma predeterminada) no están deshabilitados.
  • Como medida adicional, al utilizar el componente de ‘Application Startup Control’ (https://help.kaspersky.com/KESWin/10SP2/en-US/129102.htm) de Kaspersky Endpoint Security, puede evitar la ejecución del archivo con el nombre Perfc.dat y bloquear la ejecución de la utilidad PSExec (parte de Sysinternals Suite).
  • Configure y habilite el mecanismo Default Deny del componente de Application Startup Control de Kaspersky Endpoint Security, para garantizar la defensa de manera proactiva contra este y otros ataques.

Si usted no cuenta con productos de Kaspersky Lab en su dispositivo, utilice la función AppLocker de Windows OS para deshabilitar la ejecución de cualquier archivo que porte el nombre “perfc.dat”, así como la utilidad PSExec de la suite Sysinternals.