Detectar las variantes de NotPeyta Ransomware en la red

Detectar las variantes de NotPeyta Ransomware en la red

Por Anish Sharma, Ingeniero técnico en seguridad informática

 

El reciente rescate de NotPetya ha interrumpido instalaciones como las redes eléctricas y de instituciones financieras de todo el mundo. Los primeros análisis demuestran que se trata de una versión actualizada de la versión anterior del ransomware, WannaCry.

Como con WannaCry, NotPeyta también utiliza SMB (Server Message Block) Sin embargo, a diferencia de WannaCry, también cifra el Master Boot Record (MBR) del huésped. Se propaga utilizando el exploitEternalBlue. Después de un reinicio, el host se bloquea y niega el acceso del usuario. El ransomware aprovecha el hecho de que SMB funciona en el puerto 445, que generalmente se deja abierto para compartir archivos. Antes de que la explotación actual atraviese la red, intentará abrir las conexiones al puerto TCP 445.

Cómo GigaSECURE puede detectar vulnerabilidades en la red

La plataforma de seguridad de Gigamon GigaSECURE puede ayudar a segregar el tráfico SMB en su red para su inspección por herramientas de seguridad. Utilizando GigaSECUREFlowMappingEngine, un administrador puede extraer flujos relevantes en la red que coincidan con el puerto TCP 445, enviando sólo tráfico SMB a herramientas de seguridad para inspección, reduciendo así el ruido para optimizar el rendimiento de la herramienta.

Categories: Seguridad

About Author

Write a Comment

Your e-mail address will not be published.
Required fields are marked*