Los Hackers no descansan ni con el COVID-19

No es algo nuevo, las crisis generan nuevas oportunidades de negocio. El ransomware no es un negocio nuevo, pero los ciberdelincuentes están aprovechando la crisis del COVID-19 para tratar de llegar a más víctimas.

A raíz de la crisis, algunas mafias prometieron no atacar al sector sanitario (puede verse detalle en este enlace). Lejos de cumplirse dicha promesa, se han identificado múltiples casos de intento de extorsión, campañas de ransomware y ataques de phishing a empresas del sector sanitario. También se han detectado campañas que utilizan temáticas relacionadas con el COVID-19 para tener mayor probabilidad de éxito en el ataque.

Los delincuentes se mueven principalmente por motivos económicos y, desgraciadamente, los atacantes saben que las organizaciones sanitarias se encuentran en una situación mucho más vulnerable de lo habitual, lo cual incrementa la probabilidad de que se ceda a extorsiones.

Si quieres más información para evitar que tu empresa sea la próxima víctima de los ciberdelincuentes, descárgate nuestra Guía Rápida, donde encontrarás los consejos y las soluciones para estar protegido:

DESCARGAR GUÍA RÁPIDA

Finalmente, a modo informativo, os adjuntamos algunos ejemplos de ataques que se están produciendo relacionados con la temática del COVID-19:

Los ciberdelincuentes utilizan correos electrónicos con información sobre el COVID-19 para realizar estafas. Los ciberdelincuentes utilizan correos electrónicos con información sobre el COVID-19 para realizar estafas.

Los ciberdelincuentes utilizan correos electrónicos con información sobre el COVID-19 para realizar estafas.Los ciberdelincuentes utilizan correos electrónicos con información sobre el COVID-19 para realizar estafas.

Los ciberdelincuentes utilizan correos electrónicos con información sobre el COVID-19 para realizar estafas.

Apostando por un fabricante único para comunicaciones y seguridad

Cuando toca proyecto de renovación de comunicaciones y seguridad, si eres CIO/CTO o Responsable IT, tendrás que refrescar lo que está ofreciendo el mercado. Los partners especialistas iremos a contarte que se cuece en el mundo del Data Center, seguridad prerimetral, protección del dato, etc. y tú, como decisor dentro de la empresa, tienes la tarea de separar el grano de la paja.

Ya conocemos la oferta del mercado, tienes una aproximación económica e incluso un ganador que te ha convencido especialmente por su solución técnica. Y entonces, cuando se valora internamente, salta la alarma: “¿Nos vamos a casar con un único fabricante?“.

Sí, la mejor solución técnica y económica, a veces implica apostar parte de tu cadena IT (Firewall, Switch, WiFi) a un único fabricante. Pero, ¿es esto realmente un problema?

En este artículo, vamos a exponer las ventajas y desventajas de apostar por un único fabricante para las comunicaciones y seguridad perimetral. Y en que escenario podemos considerarla como apuesta ganadora.

El mantra del vendor lock-in

“Poner todos los huevos en la misma cesta”, “apostar todo al rojo”, en general son expresiones que denotan cierto componente negativo. Dicho de otra manera, el mantra más extendido es “no casarse con ningún fabricante”. Pero, ¿realmente es esto siempre un problema? O más aún, ¿es realmente evitable el bloqueo o lock-in de manera general?

Siempre vamos a tener bloqueo de uno u otro tipo. Vamos a ser dependientes de una arquitectura definida o de una tecnología concreta, o de un producto (aunque sea software libre), o incluso de una persona del equipo que es quien tiene el conocimiento. Este punto es importante remarcarlo: siempre vamos a tener algún tipo de dependencia. Martin Fowler, Arquitecto software, lo define perfectamente en su blog, en el artículo Shades of lock-in, donde repasa los diferentes tipos de bloqueo que podemos sufrir en un proyecto.

Ventajas del vendor lock-in

La primera es una ventaja técnica. Tener toda tu infraestructura homogénea es una gozada desde el punto de vista operativo. Consola de gestión única, analítica integrada, interacción entre los elementos (Firewall, Switch, WiFi) muy fluida. Por supuesto, si nuestro equipo IT es pequeño, esta ventaja se maximiza. No es lo mismo aprender a operar 5 fabricantes que 1.

Pongamos un ejemplo en el que seguro nos hemos visto todos. En la oficina de Barcelona tenemos 10 Switches HP y un Firewall FortiGate, en la oficina de Madrid 10 Switches Dell y un Firewall Palo Alto, en ambas sedes tenemos WiFi de Cisco Aironet, pero en el resto de sedes remotas, como son pequeñitas, hemos puesto un par de Switches D-Link y un AP de Ubiquiti. ¿Quien puede gestionar una infraestructura tan dispar? Apostemos por un fabricante y simplifiquemos las operaciones de IT.

La segunda gran ventaja es económica. Desde el punto de vista del cliente podemos tender a pensar: “estos de $VENDOR me tienen cogido de la… campanilla y me van abusar“. Pero generalmente ocurre lo contrario, el fabricante ha colocado gran parte de su portfolio y te conviertes en un cliente estratégico. Va a hacer el mayor esfuerzo posible para que ese cliente permanezca contento, y esto se traduce en una ventaja económica importante al negociar el paquete.

Piensa que es lo típico que hacen los grandes ISP cuando negocian el contrato marco. Si te gastas 1 millón de euros al año en líneas móviles, Internet y MacroLAN, vuestra posición como cliente es dominante. Y desde Open3s como partner tecnológico, podemos ayudaros a ejercer esa posición de fuerza.

Un buen ejemplo de esto, podemos leerlo en este artículo de Ignacio del Castillo sobre el acuerdo de Orange y MÁSMÓVIL.

Desventajas del vendor lock-in

La desventaja de apostar por un fabricante en toda nuestra cadena IT, es que podemos llegar a atarnos. ¿Que ocurre si el fabricante cambia las condiciones? ¿O descontinúa el producto? ¿O nos duplica el precio de soporte en la renovación (un saludo a los fabricantes de cabinas)? En esos casos, asumimos ese pequeño/gran coste o buscamos una alternativa.

Y aquí voy a volver a tirar de nuestro amigo Martin Fowler que tiene una Matriz muy simple y directa (créditos Martin Fowler).

Apostamos por la innovación pero con seguridad. Asumimos el vendor lock-in, pero solo en los casos en que el valor diferencial sea importante.

Por un lado, tendemos a irnos con un fabricante cuanto más diferencial es su solución, es decir, nos aporta un valor único con respecto a la competencia. Y además, debemos buscar tecnologías/fabricantes que tengan un coste de cambio lo más bajo posible. Con esta definición, la matriz es autoexplicativa:

Asumimos el vendor lock-in, pero solo en aquellos casos en que el valor diferencial sea importante.

El caso Fortinet: apostando por un único fabricante para comunicaciones y seguridad

Hasta aquí el plano teórico. Pasemos a la práctica con el caso de Fortinet.

La mayoría reconocerán a Fortinet como un fabricante de Firewalls, los FortiGate. En nuestra experiencia, son equipos de primera división, con multitud de funcionalidades, una amplísima documentación y un coste muy competitivos. Pero el mundo de la seguridad perimetral es finito, y los fabricantes lo saben. Para seguir creciendo, Fortinet se está posicionando cada vez en otros mercados con FortiCosas. como por ejemplo FortiSwitch y FortiAP.

La ventaja diferencial aquí, es que todos estos equipos se integran en un único punto central, el Firewall FortiGate. Desde un punto de vista técnico, el Firewall hace de Switch Controller o de WiFi Controller. ¿Y que ganamos con esta integración?

En mi opinión, hay 3 grandes ventajas:

  • Gestión unificada. Toda la operativa de la red (Firewall, Switch, WiFi) se realiza desde un punto único. Se acabó ir consola por consola gestionando y que, además, la configuración quede coherente.
  • Visibilidad. Tengo todos los datos de la red en un punto único, la trazabilidad desde el Switch/AP hasta el perímetro es completa. Y si queremos llegar a la última milla, añadamos FortiClient como endpoint protector.
  • Seguridad. Integrando la red de campus en el Firewall, conseguimos añadir una capa de seguridad extra en nuestros Switches y AP.

Las ventajas están claras, ¿en que escenario aplica? Típicamente en redes de acceso con sedes pequeñas o medias y donde haya pocas manos para operar la red. Si nuestro equipo IT se compone de pocas personas, verá con muy buenos ojos esta integración porque le facilita la vida. Y de cara arriba, con Dirección, estamos reduciendo enormemente los costes operativos con respecto a comunicaciones.

A partir de aquí, cada cliente es un mundo con unas necesidades muy específicas. Desde Open3s, como partner especialista en Fortinet, estaremos encantados de atender tus necesidades de comunicación y seguridad y explicarte como Fortinet puede ayudarte con su solución única de Firewall, Switch y WiFi ¡No dudes en consultarnos!

Autor: Miguel Ángel Corzo Lozano, Area Manager Red y Seguridad

El ataque de los RANSOMWARE

De un tiempo a esta parte se habla mucho del término RANSOMWARE. En el ámbito de la Ciberseguridad y en los departamentos de IT, todos conocemos sus terribles consecuencias desde una perspectiva de impacto en la continuidad de los procesos de negocio de las organizaciones.

En los últimos años se ha erigido como el enemigo número uno de las empresas en materia de ciberseguridad. Extraña es la persona, aunque no sea del sector, que no conozca alguna infección por RANSOMWARE.

En este nuevo artículo de nuestro Blog, describiremos que es un RANSOMWARE, como ha ido evolucionando desde su aparición a mediados del año 2000, pasando por el Cryptolocker en el 2013, con más repercusión mediática, junto con Wannacry o Petya en el año 2017.

Explicaremos, a través de un caso práctico, como afrontar un episodio de ataque de un RANSOMWARE, desde nuestro punto de vista y experiencia.

Con todo ello esperamos destacar porque consideramos tan importante la prevención en materia de seguridad y la protección de nuestros sistemas.

Definición y evolución

Un RANSOMWARE o Scareware es una categoría de Malware (software malicioso) que “secuestra” los sistemas informáticos a través de una herramienta tan común, como legítima en seguridad, como es el cifrado de datos.

Y creemos que es ahí donde radica su complejidad, porque este mecanismo de protección lo realizamos a diario en nuestros desarrollos. Los RANSOMWARE, una vez propagados, restringen el acceso a los sistemas, exigiendo posteriormente un rescate para eliminar esa restricción.

En su inicios, los primeros Malware criptograficos empleaban una clave simétrica, lo que suponía el uso de la misma clave tanto para cifrar como para descifrar. Con el tiempo, los ciberdelicuentes empezaron a evolucionar hacia algoritmos de cifrado asimétricos, teniendo sólo ellos las claves privadas para el descifrado de los ficheros. La evolución se ha producido tambien hacía variantes de algoritmos cada vez más sofisticados.

Pero no sólo la evolución radica en la concepción de los mecanismos de cifrado sino en la forma en que se produce el ataque. Los primeros RANSOMWARE se propagaban de manera más general, por ejemplo a través de campañas masivas de spam.

Los actuales RANSOMWARE se presentan a través de ataques dirigidos a menor escala, pero más efectivos al momento de penetrar. Atacan objetivos concretos explotando vulnerabilidades, ofuscando código antes del proceso de compilación o, simplemente, actuando sobre procesos o servicios para lograr acceder a sistemas “core” dentro de las organizaciones.

El daño causado por los ataques de ransomware a las empresas

Precisamente, un ejemplo de esta evolución ha sido el RANSOMWARE denominado RYUK,. Se trata de una variante más sofisticada del HERMES, que ha establecido ataques dirigidos a organizaciones muy concretas. Verticales como Industria , Sanidad y, concretamente en España, Ayuntamientos se han convertido en sus objetivos.

Su mecanismo de cifrado está diseñado para operaciones de pequeña escala, penetrando en primera instancia descifrando una contraseña RDP débil, para escalar privilegios realizando la propagación en los sistemas informáticos antes de encriptarlos, teniendo un nivel de profundidad de ataque que lo hace aún más peligroso y difícil de detectar.

Caso real de un ataque de RANSOMWARE

Como no hay mejor manera de demostrar conocimiento sino a través de la experiencia, recientemente asesoramos a uno de nuestros clientes para afrontar un ataque de RANSOMWARE en sus sistemas informáticos.

Se detectaron los primeros síntomas en el mal funcionamiento del servidor de base de datos y, posteriormente, se detectó en algunos equipos la presencia de ficheros encriptados y un fichero .html con dos direcciones de correo, habitual en este tipo de ataques, para el envío del rescate de los sistemas secuestrados.

Se confirma que el RANSOMWARE es el RYUK, porque se detectan inicios de sesión en escritorios remotos con un usuario desconocido ajeno a la organización. EL ATAQUE ERA INMINENTE.

Como sucede en estos casos, la primera medida fue apagar los equipos y aislar los servidores de la red, para que no continuase la propagación. También se procedió a la actualización del antivirus corporativo Kaspersky en los equipos y servidores.

Además, se detectó un segundo síntoma. Se observaron rastros del virus en forma de ejecutables y la afectación a las políticas GPO del servidor de dominio de Windows, realizándose la propagación a través del despliegue de las políticas. Era evidente que la profundidad del ataque era tal que resultaba casi imposible evaluar el impacto y el alcance de las afectaciones en los sistemas informáticos.

Las pruebas y análisis realizados con el antivirus Kaspersky, para la detección y eliminación del virus, no tuvieron éxito.

Se decide restaurar desde copia de seguridad e instalar los sistemas desde su configuración inicial, después del fallido intento de resolución a través del software corporativo de antivirus. Al intentar restaurar las copias de seguridad, se detectaron dos problemas: el tiempo de recuperación, debido a la infraestructura actual de protección de datos y backup y sus elementos que lo componen dentro de un proceso de restauración, y lo más grave, la inaccesibilidad a algunas copias de seguridad dentro del sistema de backup.

Era más que evidente que nos encontrábamos ante un escenario no sólo de ataque inminente de un RANSOMWARE y sus consecuencias, sino ante una situación posterior de aplicación de correctivos y mitigación de la incidencia que no daban los resultados esperados.

Y es que en un escenario de crisis, disrupción e indisponibilidad de los procesos de negocio, se hacía más que patente porque el tiempo jugaba en contra y no se encontraba una solución definitiva al problema, ni la garantía de que no volviese a producirse un nuevo brote de los síntomas, dada la profundidad del ataque, característica fundamental de estas nuevas variantes de ataque de RANSOMWARE como hemos mencionado.

Por tanto, quedaba un largo camino hacía el restablecimiento de los sistemas, con las consecuencias que esto supone a nivel operativo, pero sobre todo de negocio.

Diagnóstico

De acuerdo con los síntomas, la afectación y a las características de ataque, todo indica que el inicio del incidente provino de una campaña específica de envío masivo de correos maliciosos que suplantaban la identidad de un usuario en los que había anexado un documento de tipo “Word“.

A pesar de que a nivel de cabecera del mensaje se veía claro que no provenía del servidor de correo corporativo, es probable que muchos usuarios procedieran a ejecutarlo pensando que era un documento inofensivo de trabajo habitual. Esto provocó la ejecución de una “macro” incluida en el documento que debía instalar algún tipo de software malicioso (por ejemplo, trickbot) para poder desplegar el ransomware Ryuk tras una fase de post-explotación y utilizando herramientas tipo “Cobalt Strike” de índole profesional.

El software de antivirus Kaspersky no pudo detectarlo como un posible elemento malicioso, posiblemente porque muchos de los equipos de los usuarios no tenían instalada la última actualización y las firmas asociadas.

Una vez dentro y antes de encriptar ficheros, este tipo de RANSOMWARE buscó los elementos Core, sobre todo servidores de Bases de Datos o de Directorio Activo. Para ello aprovechó vulnerabilidades de sistema operativo y deficiencias en gestión de contraseñas y permisos, habilitando sesiones de escritorio remoto con usuarios desconocidos, como fue en este caso.

Además, el mal uso de las cuentas con privilegios de administrador facilitó la propagación de la GPO y la profundidad del ataque. Precisamente, esta facilidad de acceso a los sistemas pudo ser el motivo de la posible afectación del sistema de backup, con el objetivo de no poder recuperar los datos afectados.

Resolución y planes de acción

Ante este tipo de situaciones, desde Open3s recomendamos, aunque suene a tópico, mantener la calma en la toma de decisiones, porque cualquier paso en falso en los Planes de Acción estipulados puede suponer una pérdida importante de tiempo, que impacta directamente en los plazos establecidos de restauración y, por ende, en el negocio.

No tener una visión clara de la afectación es un problema común en estos episodios de ataque. Por tanto, nuestra recomendación fue empezar desde la configuración inicial de los sistemas, restaurando de manera rápida los datos y los servicios, estableciendo un orden a partir de los sistemas más críticos, conociendo la correlación entre ellos para el restablecimiento de manera escalonada de los servicios. Por tanto…

Fue fundamental encontrar un sistema de antivirus capaz de detectar y eliminar este tipo de ataques y que, además, sea de fácil despliegue y gestión ante este tipo de situaciones. Por este motivo, nuestra recomendación fue SentinelOne, porque no sólo detectó y eliminó el virus, sino que nos garantiza desde el Endpoint una protección con más profundidad que su antecesor. Sobre todo, entiende el comportamiento para identificar cuando algo es malicioso, venga de una GPO o con credenciales validas ..

SentinelOne detecta el ataque del ransomware KeyPass

Establecimos un Plan de Acción por fases para ir restableciendo los servicios. Para esto fue sumamente importante tener un Gobierno de la infraestructura y de cada una de sus capas y elementos, para no dejar ningún cabo abierto, desde el usuario a los servidores y sistemas de backup.

De esta manera garantizamos, una vez detenido el ataque, tener un control de los servicios a medida se vayan restableciendo.

Lecciones aprendidas.

Es evidente que, por naturaleza, somos más reactivos que proactivos y actuamos en consecuencia. Como hemos mencionado, este tipo de ataques evolucionan muy rápidamente. Es la razón fundamental para estar prevenidos y, sobre todo, tener definidos Planes de Acción en constante evolución para prevenir, identificar y mitigar al máximo posible las afectaciones ante un episodio de esta índole.

Es importante tener los elementos necesarios en nuestra infraestructura para establecer un Plan de Continuidad de Negocio en condiciones.

Les dejamos unas recomendaciones, de acuerdo con nuestra experiencia, que debemos de tener en cuenta:

  • Disponer de un inventario y diagramas actualizados de nuestra infraestructura IT en sus diferentes capas y elementos.
  • Tener un Plan de Actualización periódico de los sistemas y aplicaciones, esencialmente a nivel de sistema operativo.
  • Tener un Plan de Seguridad de las aplicaciones y sistemas informáticos, a través de políticas, por ejemplo, de contraseñas seguras.
  • Mantener actualizado el software antivirus en todos sus niveles, desde el usuario a los servidores y sistemas de ficheros.
  • Disponer de una solución de protección de correo que nos garantice la detección, el análisis y la detención de cualquier ataque de Malware o Phishing, con la granularidad y visibilidad adecuada para la rápida detección de un episodio de ataque.
  • Establecer un Gobierno elaborado y actualizado de los servicios de directorio, como el Directorio Activo, para la gestión de usuarios, permisos, grupos y políticas de toda nuestra infraestructura.
  • Tener un Sistema de Backup que nos garantice niveles de recuperación inmediata, consistencia de las copias de seguridad en función de las aplicaciones y, sobre todo, ser inmutables y seguros ante cualquier ataque de RANSOMWARE o de otra índole.
  • Tener un Sistema de Ficheros estructurado a nivel de accesos y permisos, que posea o se integre a un sistema de protección antivirus. Así mismo, se debe valorar tener analíticas de comportamiento de ficheros y auditorias, siendo una de las maneras de detectar un ataque.
  • Establecer políticas, procedimientos o formación de concienciación a nivel usuarios finales, con la finalidad que sean capaces de detectar o sospechar que están siendo víctimas de un ataque.

Si después de leer este artículo piensas que tu organización podría ser víctima de un ataque de estas características, desde Open3s estaremos encantados de ayudarte a definir un Plan de Seguridad y Gobierno de tu infraestructura para prevenir episodios de este tipo.

Tenemos en nuestro portfolio soluciones que nos permiten garantizar, de manera eficiente, la continuidad de negocio dentro de las organizaciones.

Créanme. En estos tiempos en que los ciberdelicuentes están constantemente buscando y perfeccionando métodos de ataques, no podemos ser menos, así que… No debemos bajar la guardia.

Autor: Carlos Zavala Pasco, Area Manager Sistemas, Virtualización y Cloud.

 

 

 

 

 

La vulnerabilidad Krack WPA2

La vulnerabilidad Krack WPA2

SOBRE LA VULNERABILIDAD KRACK WPA2

Actualmente WPA2 es el protocolo que aporta una mayor seguridad en redes WiFi y recientemente se hizo pública información referente a ciertas debilidades en este protocolo.

Estas debilidades se han bautizado con el nombre de KRACK (key reinstallation attacks).

El alcance de dichas debilidades depende de la propia configuración de la red WiFi y de la implementación de los distintos fabricantes. Prácticamente todo dispositivo WiFi que implemente de manera correcta el protocolo está afectado.

CONSECUENCIAS DE KRACK

El alcance de esta vulnerabilidad puede permitir:

  • Descifrar tráfico de la red WiFi (permitiendo secuestrar conexiones TCP, capturar información sensible si los protocolos de transporte no usan cifrado, por ejemplo, HTTP en lugar de HTTPS, etc.)
  • Reproducir tramas de broadcast/multicast
  • Inyectar tráfico en la red WiFi (sólo TKIP o GCMP)
  • Forzar a utilizar una clave de cifrado predecible (sólo Android 6.0+ y Linux)

LO BUENO

  • Los fabricantes deberían asumir responsabilidad del problema y corregirlo mediante las actualizaciones pertinentes

LO MALO

  • Muchos dispositivos no dispondrán de una forma sencilla de aplicar actualizaciones
  • Mucha variedad de dispositivos, puede no ser sencillo encontrar actualización para todos los dispositivos
  • El ataque afecta a puntos de acceso y clientes, es importante actualizar ambas partes. Actualizar solo una de las partes no evita el problema

LO MÁS MALO

  • Ataques a plataformas Android 6.0+ son muy fáciles de realizar
  • Dispositivos IoT pueden no recibir actualización nunca

RECOMENDACIONES

  • Aplicar actualizaciones en el firmware de los puntos de acceso que solucionen el problema
  • Utilizar únicamente como protocolo/cifrado WPA2/AES-CCMP, lo cual minimiza el impacto del problema
  • Aislar las redes WiFi y evitar el uso de protocolos en claro en dichas redes, al menos, para acceso a recursos internos de la compañía. Generalmente se recomienda que los usuarios que trabajen por WiFi, lo hagan mediante VPN
  • Aplicar actualizaciones en los sistemas operativos (especialmente importante en plataformas Linux y Android 6.0+)
  • En dispositivos Android 6.0+, deshabilitar la WiFi hasta disponer de un parche que solucione el problema

LO QUE NO SE PUEDE HACER

  • Obtener la clave WPA
  • Inyectar paquetes (si se utiliza AES-CCMP)

Fuente: https://github.com/kristate/krackinfo

Para más información puedes contactar con nosotros en info@open3s.com.

Splunk Insights for Ransomware

Splunk Insights for Ransomware

Today, we have seen yet another wave of ransomware attacks, similar in nature to the wannacry attacks from May 2017, sweep across organizations around the globe. Splunk Blog on Petya Ransomware Attacks

Splunk can help you:

  • To quickly detect & investigate ransomware attacks
  • Rapidly find & visualize systems that are not patched and are vulnerable to these attacks
  • Provide holistic security analytics & monitoring across the business

Splunk Insights for Ransomware is a new offering for organizations enabling them to rapidly take an analytics-driven approach to managing ransomware threats

(más…)

Proofpoint and Open3s strongly encourages customers to verify the following on their systems.

Several organizations have been impacted today by the ransomware known as Petya,  or Petrwrap.   At this time, the distribution vector is still unconfirmed but it appears to be spreading via network similar to WannaCry, although the capacity for an email vector exists.  Like WannaCry, this Petya outbreak appears to potentially be leveraging SMB network protocols to spread itself.

 

Proofpoint strongly encourages customers to verify the following on their systems. 

    (A)  Ensure that the .exestrip rule is enabled in PPS; this will stop any .zip/.js or inbound raw executables in email.

    (B)  Enabling blocking of password-protected compressed files is also suggested, at least during this outbreak period

    (C)  Proofpoint TAP customers have an additional layer of protection against other potential email vectors, as URL-based or office-document-based encapsulation will be subject to behavioral analysis by TAP. 

    (D)  Ensure systems are patched against the vulnerability described in bulletin MS17-010 (allows the execution of remote commands through Samba / SMB). It is unconfirmed that this stop the new Petya outbreak, but patching will mitigate risk of infections from residual WannaCry activity.

    (E)  Deploying Proofpoint ET signatures for IDS, which we have verified will enable identification and blocking of network command & control / phone-home and worm activity by this ransomware

As always, please report any confirmed “false negatives” (eg, threats that appear to have used a Proofpoint-protected vector to gain entry) immediately — but note that at this time, we have no reports of such events at Proofpoint customers.

UPDATE:

(A)  What is the Payload?

While there has been some debate in the research community over whether the payload is “Petya”, or “Petya-like”, there seems to be common agreement that the payload is ransomware that most likely encrypts the Master Boot Record (like Petya). 

 

(B)  What is the distribution mechanism?

The ransomware package appears to attempt both the EternalBlue SMB exploit as well as Windows utilities PsExec (“a Telnet alternative”) and Windows Management Instrumentation Command-line (WMIC) (“a command-line and scripting interface”) for distribution and initiation.

 

While there are no confirmed reports of transmission via email, there are currently large email campaigns distributing “KaroCrypt”; Proofpoint is actively blocking these as well.   Like the confusion between WannaCry and Jaff, we anticipate some confusion between KaroCrypt and this Petya-like malware.

 

(C)  Where did it start?

There are widely reported but unconfirmed attribution (including the me-doc website) suggesting that the Ukranian accounting software system “MeDoc” was compromised to distribute the malware via standard update mechanisms last night.  Once introduced into an intranet, the mechanisms in (B) would rapidly spread the malware to other connected systems that were ether unpatched for EternalBlue or left open for PsExec and WMIC.

 

(D)  How do I detect and block this?

The guidance issued in the original bulletin still holds; specifically, for network detection, ensure you have updated IDS signatures

2012063:  ET NETBIOS Microsoft SRV2.SYS SMB Negotiate ProcessID Function Table Dereference  and

2024297: ET CURRENT_EVENTS ETERNALBLUE Exploit M2 MS17-010

 

Please note that this is still an active investigation; details are still being verified and are subject to change.