Detectar las variantes de NotPeyta Ransomware en la red

Loading

Por Anish Sharma, Ingeniero técnico en seguridad informática

El reciente rescate de NotPetya ha interrumpido instalaciones como las redes eléctricas y de instituciones financieras de todo el mundo. Los primeros análisis demuestran que se trata de una versión actualizada de la versión anterior del ransomware, WannaCry.

Como con WannaCry, NotPeyta también utiliza SMB (Server Message Block) Sin embargo, a diferencia de WannaCry, también cifra el Master Boot Record (MBR) del huésped. Se propaga utilizando el exploit EternalBlue. Después de un reinicio, el host se bloquea y niega el acceso del usuario. El ransomware aprovecha el hecho de que SMB funciona en el puerto 445, que generalmente se deja abierto para compartir archivos. Antes de que la explotación actual atraviese la red, intentará abrir las conexiones al puerto TCP 445.

Cómo GigaSECURE puede detectar vulnerabilidades en la red

La plataforma de seguridad de Gigamon GigaSECURE puede ayudar a segregar el tráfico SMB en su red para su inspección por herramientas de seguridad. Utilizando GigaSECURE Flow Mapping Engine, un administrador puede extraer flujos relevantes en la red que coincidan con el puerto TCP 445, enviando sólo tráfico SMB a herramientas de seguridad para inspección, reduciendo así el ruido para optimizar el rendimiento de la herramienta.

Notas Relacionadas

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *