{"id":10752,"date":"2017-06-28T13:07:09","date_gmt":"2017-06-28T13:07:09","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=10752"},"modified":"2018-09-18T06:36:04","modified_gmt":"2018-09-18T12:36:04","slug":"expetr-for-b2b","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/expetr-for-b2b\/10752\/","title":{"rendered":"Los objetivos de ExPetr son empresas importantes"},"content":{"rendered":"<p>Estamos presenciando una <a href=\"https:\/\/latam.kaspersky.com\/blog\/new-ransomware-epidemics\/10732\/\" target=\"_blank\" rel=\"noopener\">plaga de una nueva variedad de <em>ransomware<\/em><\/a>. Nuestros expertos lo est\u00e1n llamando ExPetr (otros lo llaman Pety, PetrWrap, etc). La diferencia principal con este nuevo <em>ransomware<\/em> es que esta vez los delincuentes escogieron sus objetivos con gran precisi\u00f3n. Muchas de las v\u00edctimas son empresas, no consumidores.<\/p>\n<p>Lo peor es que, en esta ocasi\u00f3n, muchas instalaciones con infraestructura cr\u00edtica est\u00e1n entre las v\u00edctimas de este <em>malware<\/em>. Por ejemplo, se ha informado de que algunos vuelos del aeropuerto de <a href=\"https:\/\/threatpost.com\/complex-petya-like-ransomware-outbreak-worse-than-wannacry\/126561\/\" target=\"_blank\" rel=\"noopener nofollow\">Kiev Boryspil <\/a>sufrieron retrasos a causa del ataque. Y todav\u00eda peor: se inform\u00f3 de que el sistema de monitorizaci\u00f3n de radiaci\u00f3n de la planta nuclear de <a href=\"http:\/\/edition.cnn.com\/2017\/06\/27\/europe\/chernobyl-cyber-attack\/index.html?iid=EL\" target=\"_blank\" rel=\"noopener nofollow\">Chernobyl<\/a> estuvo ca\u00eddo temporalmente por la misma raz\u00f3n.<\/p>\n<p><a href=\"https:\/\/www.kaspersky.it\/downloads\/thank-you\/internet-security-free-trial?%26redef=1&amp;reseller=it_kdailyitapics_acq_ona_smm__onl_b2c__lnk_______\"><img decoding=\"async\" class=\"aligncenter wp-image-17344 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2017\/06\/29092800\/petya_ch7.jpg\" alt=\"The worst part is that far more critical infrastructure facilities are among the victims of this malware.\" width=\"1280\" height=\"800\"><\/a><\/p>\n<p>\u00bfPor qu\u00e9 sigue el <i>malware<\/i> cifrador atacando sistemas de infraestructura cr\u00edtica? O bien porque est\u00e1n directamente conectados con redes centrales corporativas o porque tienen acceso directo a Internet.<\/p>\n<h3>\u00bfQu\u00e9 hacer?<\/h3>\n<p>Al igual que con <a href=\"https:\/\/latam.kaspersky.com\/blog\/wannacry-for-b2b\/9160\/\" target=\"_blank\" rel=\"noopener\">WannaCry<\/a>, tenemos dos problemas: la penetraci\u00f3n inicial del <i>malware<\/i> en la infraestructura de una empresa y su proliferaci\u00f3n en ella. Ambos problemas deben solucionarse separadamente.<\/p>\n<h3>Penetraci\u00f3n inicial<\/h3>\n<p>Nuestros expertos indican algunos caminos por los que el <i>malware<\/i> se cuela en la red. En algunos casos, hizo uso de webs maliciosas o los usuarios recibieron el <i>malware<\/i> camuflado como si de una actualizaci\u00f3n del sistema se tratara. En otros casos, la infecci\u00f3n se propag\u00f3 mediante actualizaciones de <i>software<\/i> de terceros (como por ejemplo mediante el <i>software<\/i> ucraniano M.E.Doc). En otras palabras, no hay ni un solo punto de entrada predecible que proteger. No obstante, tenemos algunas recomendaciones para prevenir que el <i>malware<\/i> penetre en tu infraestructura:<\/p>\n<ul>\n<li>Instruye a tus empleados para que nunca abran adjuntos sospechosos ni hagan click en los enlaces de los correos electr\u00f3nicos (parecer\u00e1 obvio, pero las personas siguen haci\u00e9ndolo).<\/li>\n<li>Aseg\u00farate de que todos los sistemas conectados a Internet est\u00e9n equipados con soluciones de seguridad actualizadas que incorporen componentes de an\u00e1lisis de comportamiento.<\/li>\n<li>Comprueba que los componentes importantes de las soluciones de seguridad est\u00e1n activos (en los productos de Kaspersky Lab, aseg\u00farate de que est\u00e1n activos tanto la red Kaspersky Security Network como el motor de comportamiento System Watcher).<\/li>\n<li>Actualiza las soluciones de seguridad regularmente.<\/li>\n<li>Emplea herramientas para controlar y monitorizar las soluciones de seguridad desde una \u00fanica consola administrativa (y no dejes que los empleados modifiquen los ajustes).<\/li>\n<\/ul>\n<p>Como medida de protecci\u00f3n adicional (en especial si no usas los productos de Kaspersky Lab), puedes instalar nuestra herramienta gratuita Kaspersky Anti-Ransomware Tool, compatible con muchas otras soluciones de seguridad.<\/p>\n<p><a href=\"https:\/\/go.kaspersky.com\/Anti-ransomware-tool_soc.html?utm_source=smm_kd&amp;utm_medium=ww_kd_o_170515\"><img decoding=\"async\" class=\"aligncenter\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2017\/05\/06015721\/Banner_1460x300_B2B_EN.jpg\"><\/a><\/p>\n<h3>Propagaci\u00f3n en la red<\/h3>\n<p>Una vez que se introduce en un solo sistema, ExPetr es mucho mejor que WannaCry para propagarse en una red local porque dispone de capacidades extensas para ese objetivo en concreto. En primer lugar, utiliza, al menos, dos <i>exploits<\/i>: un EternalBlue modificado (tambi\u00e9n usado por WannaCry) y EternalRomance (otro <i>exploit<\/i> del puerto TCP 445). En segundo lugar, cuando infecta un sistema en el que un usuario tiene privilegios de administrador, empieza a distribuirse mediante el Instrumental de administraci\u00f3n de Windows o mediante la herramienta de control remoto de sistemas PsExec.<\/p>\n<p>Para prevenir que el <i>malware<\/i> acceda a tu red (y, en especial, a la de los de sistemas de infraestructura cr\u00edtica), deber\u00edas:<\/p>\n<ul>\n<li>Aislar los sistemas que requieren una conexi\u00f3n activa de Internet en otro segmento de red.<\/li>\n<li>Dividir la red sobrante en subredes o subredes virtuales con conexiones restringidas y conectar solo los sistemas que la requieran para procesos tecnol\u00f3gicos.<\/li>\n<li>Seguir el consejo que los expertos de <a href=\"https:\/\/ics-cert.kaspersky.com\/reports\/2017\/06\/22\/wannacry-on-industrial-networks\/\" target=\"_blank\" rel=\"noopener\">Kaspersky Lab ICS CERT<\/a> dieron tras el ataque de WannaCry (los cuales son, en particular, para empresas industriales).<\/li>\n<li>Asegurarte de que las actualizaciones de seguridad cr\u00edticas de Windows est\u00e1n instaladas. Muy importante ya que la <a href=\"https:\/\/latam.kaspersky.com\/blog\/wannacry-windows-update\/9995\/\" target=\"_blank\" rel=\"noopener\">MS17-010<\/a> cierra las vulnerabilidades que utiliza EternalBlue y EternalRomance.<\/li>\n<li>Utilizar servidores de respaldo aislados del resto de la red y evitar la conexi\u00f3n con unidades remotas en los servidores de respaldo.<\/li>\n<li>Prohibir la ejecuci\u00f3n del archivo llamado <i>perfc.dat<\/i> mediante el Control de Aplicaciones de Kaspersky Endpoint Security for Business o mediante Windows AppLocker.<\/li>\n<li>En sistemas que contengan m\u00faltiples sistemas integrados, utilizar soluciones de seguridad especializadas como Kaspersky Embedded Security Systems.<\/li>\n<\/ul>\n<p>Configura el modo de denegaci\u00f3n por defecto como medida de protecci\u00f3n adicional en los sistemas que sea posible (por ejemplo, en computadoras utilitarias con <i>software<\/i> que rara vez se modifique), lo que se puede realizar mediante el Control de aplicaciones incluido en Kaspersky Endpoint Security for Business.<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/vzu20QttlJs?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>Como siempre, recomendamos el uso de la estrategia de protecci\u00f3n multicapa, incorporando actualizaciones de <i>software<\/i> autom\u00e1ticas (incluidas las del sistema operativo), un componente <i>antiransomware<\/i> y un componente que vigile todos los procesos del sistema operativo.<br>\n<a href=\"https:\/\/go.kaspersky.com\/LATAM_Trial_Advanced_SOC_SP.html?utm_source=smm_kb&amp;utm_medium=la-es_kb_o_170628\"><img decoding=\"async\" class=\"aligncenter\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2017\/06\/28150722\/1460x300_KESB_EN_LM.jpg\"><\/a><\/p>\n<h3>Pagar o no pagar<\/h3>\n<p>Finalmente, aunque en general no recomendamos el pago del rescate, comprendemos que algunas empresas piensen que no les queda m\u00e1s remedio. Sin embargo, si ExPetr ya afect\u00f3 a tu informaci\u00f3n, no deber\u00edas pagar bajo ning\u00fan concepto.<\/p>\n<p>Nuestros expertos han descubierto que este <i>malware<\/i> no tiene mecanismos para guardar el ID de instalaci\u00f3n. Sin \u00e9l, el delincuente no puede extraer la informaci\u00f3n necesaria para el cifrado. En resumen, son incapaces de ayudar a sus v\u00edctimas a recuperar sus datos.<\/p>\n<p><a href=\"https:\/\/go.kaspersky.com\/LATAM_Trial_Advanced_SOC_SP.html?utm_source=smm_kb&amp;utm_medium=la-es_kb_o_170628\"><img decoding=\"async\" class=\"aligncenter\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2017\/06\/30085921\/ExPetr-Webinar-Banner.jpg\"><\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>ExPetr (tambi\u00e9n conocido como NotPetya) tiene como objetivo a objetos de infraestructura cr\u00edtica.<\/p>\n","protected":false},"author":700,"featured_media":10753,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3540],"tags":[638,2993,1886,3002,3004,3003,2451,472,1262,2954],"class_list":{"0":"post-10752","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-amenazas","10":"tag-brote","11":"tag-epidemia","12":"tag-expetr","13":"tag-malware-cifrador","14":"tag-notpetya","15":"tag-petya","16":"tag-ransomware","17":"tag-troyanos","18":"tag-wannacry"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/expetr-for-b2b\/10752\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/expetr-for-b2b\/8718\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/expetr-for-b2b\/4736\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/expetr-for-b2b\/11726\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/expetr-for-b2b\/13617\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/expetr-for-b2b\/13654\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/expetr-for-b2b\/17896\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/expetr-for-b2b\/3342\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/expetr-for-b2b\/17343\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/expetr-for-b2b\/9223\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/expetr-for-b2b\/6994\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/expetr-for-b2b\/13798\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/expetr-for-b2b\/17329\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/expetr-for-b2b\/17538\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/amenazas\/","name":"amenazas"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/10752","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=10752"}],"version-history":[{"count":4,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/10752\/revisions"}],"predecessor-version":[{"id":10757,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/10752\/revisions\/10757"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/10753"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=10752"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=10752"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=10752"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}