Mes: junio 2017

PCNOVA MSSP. Cómo hemos protegido a nuestros clientes durante los ataques de Ransomware Wannacry y Petya

En PCNOVA seguimos trabajando para ofrecer las mejores soluciones como Proveedor de Servicios Gestionados. En los casos del Ransomware Wannacry y Petya, como MSP y MSSP hemos podido resguardar las infraestructuras de nuestros clientes y garantizar la continuidad de la organización utilizando el conjunto de Servicios y Soluciones IT includos en la SOLUCION NOVA que permite integrar dentro de un mismo conjunto de servicios Antivirus de categoría empresarial, Copia de Seguridad Gestionada y además una Solución ANTI RANSOMWARE. Lo que hemos trabajado con nuestros clientes lo detallamos a continuación.

Las Claves de Nuestros Servicios. Solución NOVA y NOVA Adaptive Defense.

REVISION/VERIFICACION DE VULNERABILIDAD MS70-010

A través de nuestra plataforma de Gestión y monitorización de la Solución NOVA, utilizando el servicio de gestión de vulnerabilidades, verificamos que todos los equipos de nuestros clientes tuvieran el parches MS70-010 instalado. Para ello utilizamos un script que nos permitió determinar y listar el estado de todos los clientes gestionados:

PCNOVA MSP. Script de verificación de la instalación del parche que solucionaba la vulnerabildiad ms17-010 en powershell
Ejemplo del listado de verificación a través de la herramienta de gestión de vulnerabildades de la Solución NOVA de que el parche MS70-010 estaba instalado
Ejemplo del listado de verificación a través de la herramienta de gestión de vulnerabildades de la Solución NOVA de que el parche MS17-010 estaba instalado

CONTACTO POR EMAIL PARA ACTIVAR ALERTA MAXIMA DURANTE EL ATAQUE

Durante todo el fin de semana estuvimos informando a nuestros clientes del ataques. Lanzamos alertas para que todas las organizaciones estuvieran al tanto de la situación y procuraran evitar cualquier posibilidad de engaño para que el ataque se iniciara internamente:

Comunicación de Alerta enviada por email a nuestros clientes durante el ataque del Ransomware Wannacry

 VERIFICACION DE LAS COPIAS DE SEGURIDAD

 Como MSP, uno de los servicios incluídos en nuestra exclusiva SOLUCION NOVA es el Backup Gestionado, más conocido como BaaS (Backup as a Service). A través de este servicio, hemos podido administrar las copias de nuestros clientes en remoto, incluso con la opción de recuperación por versionado de hasta 30 días de copias de seguridad.

 

VERIFICACION ANTIVIRUS GESTIONADO

El antivirus es la primera línea de defensa del equipo, pero en PCNOVA hemos ido un paso más allá y proveemos de un AV de categoría empresarial para todos nuestros clientes. Dependiendo del equipo, podemos decidir qué motor de Antivirus instalamos: Bitdefender Enterprise, Vipre Enterprise o Panda Security, todos gestionables desde nuestra consola central.

 VERIFICACION NOVA ADAPTIVE DEFENSE

Nuestra herramienta NOVA Adaptive Defense es la mejor línea de defensa contra ataques de Día Cero como el Ransomware. Nuestra solución es UN COMPLEMENTO a las soluciones Antivirus, NO UN SUSTITUTO. NOVA Adaptive Defense se fundamenta en un modelo de seguridad basado en tres principios: monitorización continua de las aplicaciones de los puestos y servidores de la empresa, clasificación automática mediante técnicas de Machine Learning en una plataforma Big Data en la nube y, por último, el análisis en profundidad por parte de técnicos expertos de aquellas aplicaciones no clasificadas automáticamente, con el fin de conocer el comportamiento de todo aquello que se ejecuta en su organización.

Adicionalmente al panel de gestión que nos indica de un sólo vistazo la situación de los equipos, disponemos de una herramienta integrada de Análisis Forense que nos permite examinar y determinar aquellos posibles aspectos de su empresa que podrían afectar su seguridad o, si fuese el caso, determinar con exactitud dónde ha comenzado un ataque y cómo ha sido detenido.

Todo este conjunto de soluciones nos permite optimizar y aumentar la seguridad de nuestros clientes como su MSSP de confianza. Si usted desea más información para mejorar la Seguridad y Defensa IT de su organización, le proponemos que visite nuestra web y conozca nuestras Campañas #INICIATIVAPROACTIC y #NOALRANSOMWARE. Si lo prefiere, podemos contactarle inmediatamente a través de nuestro formulario de Contacto:

Una vez más agradecemos su contacto y quedamos a las órdenes de nuestros clientes para aclarar sus dudas o consultas a través de nuestros canales regulares en redes sociales o directamente:

Ricardo González Darkin

Consultor Técnico / Especialista en Soluciones IT para Educación y la Pequeña y Mediana Empresa

Share

Ransomware PETYA (NotPetya/SortaPetya/Petna): la nueva Ciberamenaza. Detalles, herramientas y Soluciones ANTI Ransomware

Una nueva oleada de Ransomware se está llevando desde el día de ayer y que ya ha realizado más de 2000 ataques (según la BBC) en Europa y Estados Unidos: PETYA (NotPetya/SortaPetya/Petna) en su versión Petrwrap ha vuelto a infectar organizaciones civiles y gubernamentales alrededor del mundo, los ataques continuan.

Ya la segunda semana de este mes de Junio alertábamos a nuestros clientes a través de una comunicación interna, que un nuevo ataque de Ransomware se esperaba:

SE ESPERAN NUEVOS ATAQUES. Mientras, nosotros mantenemos sus sistemas actualizados con la SOLUCION NOVA

El martes de esta semana Microsoft ha liberado nuevas actualizaciones de seguridad críticas. En esta ocasión indican que se han liberado nuevamente vulnerabilidades expuestas por Shadow Brokers, y que existe un alto riesgo de que sean explotadas por naciones o grupos ciber terroristas.

Microsoft releases additional updates to protect against potential nation-state activity

Al igual que Microsoft, si usted no esta suscrito a la SOLUCION NOVA, recomendamos la instalación y aplicación de estos parches lo antes posible, dado que todas ellas son de ejecución remota en protocolos como RDP, WEBDAV, SMB, RPC.

LO QUE SABEMOS HASTA AHORA DEL RANSOMWARE PETYA (NotPetya/SortaPetya/Petna)

NOMBRE: Variantes de Ransomware PETYA (NotPetya/SortaPetya/Petna)

VERSION: Petrwrap

MODO DE PROPAGACION: utiliza 2 exploits diferentes que se valen de 2 vulnerabilidades:

MODO DE INFECCION: Lo más preocupante es que algunos sitios de seguridad coinciden en afirmar QUE EL SOLO HECHO DE ESTAR CONECTADO A INTERNET PUEDE EJECUTAR EL CODIGO DE INFECCION.

SI VE ESTA PANTALLA, APAGUE INMEDIATAMENTE EL ORDENADOR Y DESCONECTELO DE LA RED (PANTALLA DE ORDENADOR EN PROCESO DE INFECCION):

PETYA RANSOMWARE. Pantalla de equipo en proceso de infección

PANTALLA ORDENADOR INFECTADO:

 

 

TIPO DE ATAQUE:

Encriptado de DATOS y Encriptado del sector de arranque del disco duro, impidiendo el inicio del equipo

PAISES AFECTADOS (según Kaspersky):

  • Rusia
  • Ucrania
  • Reino Unido
  • Polonia
  • Italia
  • Francia
  • Alemania
  • Estados Unidos

ORGANIZACIONES IDENTIFICADAS QUE HAN SIDO AFECTADAS POR ESTE ATAQUE.

  • Compañía Estatal de Energía de Ucrania
  • Planta de Energía Nuclear de Chernobyl
  • MAERSK – Compañía de Transporte Marítimo
  • MODELEZ (fabricantes de Oreo y Toblerone)
  • TNT
  • Merck Farmaceutica
  • Heritage Valley Health System
  • Metro de Kiev
  • WPP – Empresa de Publicidad de Reino Unido

Según se comenta en la red, el hecho de que una compañía de Corea del Sur llamada NAYANA haya pagado 1MM $ por la recuperación de sus archivos ha incentivado a los Hackers a realizar nuevos ataques.

Recomendaciones del CENTRO CRIPTOLOGICO NACIONAL ESPAÑOL de ayer a las 20:35 (ENLACE)

Como medidas de prevención y mitigación, el CCN-CERT recomienda lo siguiente:

  • Actualizar el sistema operativo y todas las soluciones de seguridad, así como tener el cortafuegos personal habilitado.
  • Los accesos administrativos desde fuera de la organización sólo deben llevarse a cabo mediante protocolos seguros.
  • Mantener una conducta de navegación segura, empleando herramientas y extensiones de navegador web completamente actualizado.
  • Activar la visualización de las extensiones de los ficheros para evitar ejecución de código dañino camuflado como ficheros legítimos no ejecutables (Deshabilitado por defecto).
  • Deshabilitar las macros en los documentos de Microsoft Office y otras aplicaciones similares (por defecto esta función esta deshabilitada y siempre HAY QUE AUTORIZARLA EXPLICITAMENTE PARA QUE SE EJECUTE UNA MACRO).

Recomendaciones de PCNOVA

 Descargar aplicaciones solamente desde sitios oficiales y leer los comentarios de otros usuarios para comprobar que se trata de la aplicación que estábamos buscando.

  • Si recibe un email y NO CONOCE EL REMITENTE, NO ABRA EL ARCHIVO. Es preferible que pierda un par de minutos llamando a esta persona u organización por teléfono y consultarle si ciertamente le ha enviado un correo con un archivo adjunto a que se vea infectado por Ransomware.
  • Utilizar una aplicación de seguridad confiable y mantenga las actualizaciones al día.
  • Realizar copias de seguridad de los datos continuamente.
  • En caso de haber sido infectado, no pagar nunca el rescate porque no se garantiza que los archivos se puedan recuperar.
  • Por favor, NO SIGA ENLACES DE NINGUN TIPO DESDE OTRAS FUENTES ADEMÁS DEL CORREO ELECTRÓNICO COMO MENSAJERÍA INSTANTÁNEA Y REDES SOCIALES, INCLUSO SI CONOCE AL USUARIO.
  • Por favor, NO UTILICE MEMORIAS USB QUE HAYAN SIDO CONECTADAS EN FUENTES DESCONOCIDAS (BIBLIOTECAS, UNIVERSIDADES, ETC.)PARA TRAER INFORMACÍON A SU ORDENADOR O AL CENTRO DE TRABAJO. Aunque NO EXISTE POR AHORA NINGUNA EVIDENCIA DE QUE ESTA PUEDE SER UNA FUENTE DE PROPAGACIÓN, PODRÍA CREARSE UNA VARIANTE DE ESTE MALWARE EN LAS PRÓXIMAS HORAS O DÍAS QUE SI LO PERMITA.
  • Si conoce a alguna persona que aún este utilizando equipos con Windows XP, Windows Server 2003 y 2008, POR FAVOR HAGALE SABER DE ESTE ATAQUE Y RECOMIENDELE NO ENCENDER SU EQUIPO HASTA TANTO NO HAYA VERIFICADO QUE EL PARCHE DE SEGURIDAD DE MICROSOFT CAUSANTE DE LA PROPAGACIÓN ESTA INSTALADO.

Solicitamos una vez más MANTENERSE ALERTAS ANTE CUALQUIER COMPORTAMIENTO ANOMALO DEL EQUIPO Y NOTIFICAR A TODO LAS PERSONAS DE SU ORGANIZACIÓN, DE ESTE NUEVO ATAQUE DE RANSOMWARE.

Recordamos también que en PCNOVA hemos establecido la Campaña #NOALRANSOMWARE donde establecemos pautas, recomendaciones y ofrecemos una solución ANTI RANSOMWARE segura, confiable y de rápido despliegue PARA BLOQUEAR CUALQUIER TIPO DE ATAQUE DE DIA CERO, como son los ataques de Ransomware.

En caso de que usted no sea nuestro cliente y desee PROTEGERSE INMEDIATAMENTE frente a las amenazas de Ransomware, contáctenos a través del siguiente formulario y en un breve plazo sus equipos estarán protegidos:

QUE HACER EN CASO DE NO CONTAR CON ASISTENCIA TECNICA INFORMATICA PROFESIONAL

En caso de no contar con una persona o empresa que le asista frente a este ataque de Ransomware, existe una sencilla “vacuna” que se esta proponiendo desde la web de BleepingComputer para procurar BLOQUEAR el posible ataque a su(s) equipo(s)

https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/

En caso de que ya haya sido afectado, existe UNA HERRAMIENTA que posiblemente ayude a Desencriptar sus datos.

https://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/

Una vez más agradecemos su contacto y quedamos a las órdenes de nuestros clientes para aclarar sus dudas o consultas a través de nuestros canales regulares en redes sociales o directamente:

Ricardo González Darkin

Consultor Técnico / Especialista en Soluciones IT para Educación y la Pequeña y Mediana Empresa

Share