Petya, Petwrap o NotPetya, el ransomware del mes

Ayer 27 de Junio entorno a las 13:00 comenzaron a caer varios sistemas en múltiples empresas, algunas por fallo crítico (encriptación de equipos) y otras por precaución ante infecciones puntuales, todo ello generando gran expectación por ser el gran ransomware después de WannaCry, y es que volvemos a suspender en temas de seguridad.

Desde grupos de Telegram veía comentarios de contactos donde varios equipos habían sido afectados, desde páginas de noticias se relataba como empresas, bancos y terminales de cajeros mostraban una pantalla solicitando el pago de 300$ en bitcoins para restablecer los datos, y es que seguimos tropezando con la misma piedra, sigue sin valorarse aspectos como seguridad o incluso respaldo de datos como medida de emergencia, priorizándose los ahorros en costes, pero resumamos qué ha hecho y cómo ha actuado este bicho.

¿Petya? ¿Petwrap? No, es una variante evolucionada bautizada como NotPetya.

Petya fue un ransomeware que surgió en marzo para aprovecharse de la misma vulnerabilidad EthernalBlue que se filtró del arsenal digital de la NSA americana, pero se han añadido algunas variaciones en su propagación.

¿Cómo entra NotPetya en la red local o corporativa?

El sistema parece que es el mismo usado por Petya, ingeniería social lo llaman, y es que se trata de un simple spam masivo enviando un correo de un supuesto candidato con un currículum y un par de fotos del mismo, robadas con total certeza pero que dejarán al pobre "héroe" en memoria de Google hasta la eternidad. 

La foto del falso candidato

Esta información era colgada en un enlace de dropbox con un autoejecutable que debería descomprimir el CV, también se comenta la posibilidad de existir un word con macros directamente colgado en esa nube personal, una vez descargado y ejecutaba comenzaba la fiesta.

La expansión una vez dentro de tu red

Al igual que WannaCry, NotPetya explotaba la vulnerabilidad CVE-2017-0144 y que fue parcheada en el boletín MS17-010, pero daba un paso más en la infección y añadía un segundo exploit badasado en otra vulnerabilidad marcada como CVE-2017-0145 y que fue corregida en el mismo boletín de MS.

Además de estos exploits este bicho gracias a una herramienta de dumping tipo LSADump o Mimikatz podía a credenciales que sirviesen en equipos remotos, los detectaba haciendo un barrido a través de los puertos TCP 139 y 445 y una vez localizados usaba PsExec o VMCI para la ejecución remota de código si conseguía el acceso.

La encriptación, el efecto inmediato sobre el equipo infectado

Tras una serie de comprobaciones de privilegios y ejecución el ransomware comenzaba la modificación del MBR del disco duro, no hacía una encriptación directa de los archivos si no que dejaba inutilizable el MBR normal y que provocaba la pérdida del indice y localización de ciertos ficheros, concretamente le interesaba la ubicación de las siguientes extensiones (la ubicación C:\Windows quedaba excluida del daño):

.3ds	.7z	.accdb	.ai
.asp	.aspx	.avhd	.back
.bak	.c	.cfg	.conf
.cpp	.cs	.ctl	.dbf
.disk	.djvu	.doc	.docx
.dwg	.eml	.fdb	.gz
.h	.hdd	.kdbx	.mail
.mdb	.msg	.nrg	.ora
.ost	.ova	.ovf	.pdf
.php	.pmf	.ppt	.pptx
.pst	.pvi	.py	.pyc
.rar	.rtf	.sln	.sql
.tar	.vbox	.vbs	.vcb
.vdi	.vfd	.vmc	.vmdk
.vmsd	.vmx	.vsdx	.vsv
.work	.xls	.xlsx	.xvd
.zip

Una vez completado el proceso se programaba el reinicio automático pasados los 10 minutos de la infección del equipo, tras el cual se vería un aparente pero falso proceso de comprobación de estado del disco (chkdsk).

Pasado este punto ya podíamos ver la famosa pantalla que se ha hecho viral desde ayer.

Aun así el sistema te permite el acceso a Windows, al menos en un modo bastante básico y por supuesto sin acceso a un volumen importante de los archivos.

No aprendemos la lección

La seguridad no es un añadido más, debe ser una prioridad en cualquier entorno personal y más profesional, y en los corporativos mejor ni hablamos, es una de las asignaturas suspendidas por muchas empresas de cualquier sector, pero debe ser complementado con la formación de los usuarios de tu negocio y siempre contar con un respaldo de cualquier dato que consideres relativamente importante o tenga un precio de horas o confidencialidad.

Más info en el techblog de MS.

Leer más

Presto File Server disponible oficialmente (Synology)

Presto File Server es una solución profesional (osea, de pago) que ofrece una alternativa al envío de datos entre un equipo cliente y un servidor Synology con la principal ventaja de ofrecer una mayor velocidad a lo que podemos estar acostumbrados como un transferencia tipo FTP y similares, por supuesto ofreciendo encriptación AES y posibilidad de verificación en dos pasos como ya viene siendo habitual.

Además la herramienta nos permite el acceso a una parte de reporting para que los administradores conozcan el uso de la plataforma de forma exhaustiva, además de tener clientes compatibles con Mac, Linux y Windows.

Tabla de precios según modalidades (por ancho de banda)

Synology ofrece una licencia de 30 día de prueba para ver el rendimiento real de esta nueva herramienta de alto rendimiento.

Preseto File Server está disponible para los equipos Synology adjuntos:

· Serie 17: FS3017, FS2017, RS4017xs+, RS18017xs+, RS3617xs+, RS3617xs, RS3617RPxs, DS3617xs, DS1817+, DS1517+

· Serie 16: RS18016xs+, RS2416+, RS2416RP+, DS916+, DS416play, DS716+II, DS716+, DS216+II, DS216+

· Serie 15: RC18015xs+, DS3615xs, DS2415+, DS1815+, DS1515+, RS815+, RS815RP+, DS415+

· Serie 14: RS3614xs+, RS3614xs, RS3614RPxs, RS2414+, RS2414RP+, RS814+, RS814RP+

· Serie 13: DS2413+, RS10613xs+, RS3413xs+, DS1813+, DS1513+, DS713+

· Serie 12: DS3612xs, RS3412xs, RS3412RPxs, RS2212+, RS2212RP+, DS1812+, DS1512+, RS812+, RS812RP+, DS412+, DS712+

· Serie 11: DS3611xs, DS2411+, RS3411xs, RS3411RPxs, RS2211+, RS2211RP+, DS1511+, DS411+II, DS411+

Más información en el link.

Leer más

Vulnerabilidad críticas en todos los modelos WD My Cloud

Malas noticias para Western Digital en lo que se refiere a sus famosos NAS My Cloud, y es la publicación de vulnerabilidades críticas y muy graves que posibilitan el acceso no autorizado a los equipos, especialmente serio si lo tenemos accesible desde Internet.

Desde Exploitee.rs ha hecho públicas varios agujeros graves de seguridad que afectan a toda la serie My Cloud usando como banco de pruebas una unidad PR 4100, permitiendo el acceso, copia e incluso borrado de los archivos del equipo de forma malintencionada.

El motivo de la publicación de estas vulnerabilidades no es otro que la mala fama que ha cosechado WD en la comunidad referente a estos temas, donde ha demostrado lentitud y desidia para parchear los problemas que se han comunicado a WD en sus productos, de este modo se espera que la empresa toma medidas urgentes para corregir el problema.

La primera recomendación hasta que WD libere nuevos firmwares para corregir estos problemas es deshabilitar los accesos desde Internet y esperar que sus ingenieros se den prisa para solventar este grave problema de seguridad.

Solo recordar que los modelos afectados son toda la serie My Cloud que sería los

• My Cloud 
• My Cloud Gen 2 
• My Cloud Mirror 
• My Cloud PR2100 
• My Cloud PR4100 
• My Cloud EX2 Ultra 
• My Cloud EX2 
• My Cloud EX4 
• My Cloud EX2100 
• My Cloud EX4100 
• My Cloud DL2100 
• My Cloud DL4100

Leer más

QNAP lanza el NAS TS1635, equipo de bajo coste para PYME

QNAP ha liberado un nuevo NAS profesional, el TS-1635, equipo orientado al sector profesional de PYME y que se caracteriza por ofrecer un almacenamiento de hasta 12 discos de 3,5" con 4 bahías de 2,5" pensados principalmente para discos SSD, siendo un total de 16 discos, eso sin contar unidades de expansión externas.

El TS1635 cuenta como potencia de procesamiento con una CPU de cuatro núcleos ARM Cortex-15 @1,7GHz que permite mantener el coste de este NAS más reducido que otros equipos enfocados al mismos segmento, además de disponer de versiones de 4 u 8 GB de RAM (ampliable a un máximo de 16GB).

Pero lo realmente interesante de este modelo es su adaptación a las nuevas comunicaciones gracias a integrar conexiones SPF+ de 10GbE que le permiten hasta un acceso de lectura total de 1,228 MB/s y 874 MB/s de escritura, admás de incorporar los ya clásicos doble puertos Gigabit RJ45, cifras nada despreciables para cualquier negocio que disponga de infraestructura 10GbE, tan solo recuerda que deberás adquirir los módulos SPF+ para poder disfrutar de este avance si es tu caso.

Ordering P/N	TS-1635-4G	TS-1635-8G
Processor	Annapurna Labs Alpine AL-514 quad-core 1.7 GHz ARM® Cortex-A15 Processor
Hardware Encryption Accleration	✔
System Memory	4GB DDR3 (1 x 4GB)	8GB DDR3 (1 x 8GB)
Maximum Memory	16GB
Memory Slot	2 x SODIMM DDR3 (For dual-DIMM configurations, you must use a pair of identical DDR3L modules.)
Flash Memory	512MB
Drive Type	12 x 3.5"/2.5" + 4 x 2.5" SATA 6Gb/s HDDs/SSDs Note: You can create a volume over 16TB, but its storage space cannot be expanded. Volumes smaller than 16TB can only be expanded up to 16TB by using online capacity expansion. For the best use of storage space on your NAS, please create multiple volumes.
10GbE LAN	2 x 10 Gigabit SFP+ LAN ports
GbE LAN	2 x Gigabit RJ45 LAN ports
USB Port	3 x USB 3.0 ports
PCIe Slot	1 x PCIe Gen2 ( x2)
LED Indicator	Status/Power，LAN， Drive 1-16
Button	Power / Reset
Audio Output	1 x built-in speaker, 1 x line out jack (for ampfliers or speakers)
Others	Kensington security slot, system maintenance port
Dimension	303.84 x 369.89 x 319.8 mm 11.96 x 14.56 x 12.59 inch (HxWxD)
Weight	Net: 12.22 kg ( 26.94 lbs)	Net: 12.32 kg (27.16 lbs)
Sound Level*	Sound pressure (LpAm) : 22.1 dB(A)
Operating Temperature	0-40˚C
Relative Humidity	5~95% RH non-condensing, wet bulb: 27˚C
Power Consumption	HDD Standby: 38.37W In operation: 78.45W (With 12 x 1TB HDDs and 4x 120GB SSDs)
Power	100-240V~, 3-1.5A, 60-50Hz, 250W PSU
Fan	3 x 9.2cm system fan (12V DC)

Os adjunto la nota de prensa que QNAP ha publicado con toda la información de este modelo:

Taipei, Taiwan, 22 de Noviembre de 2016 - QNAP® Systems, Inc. ha lanzado hoy el TS-1635, un NAS profesional de 16 bahías que admite hasta doce HDD de 3.5" y cuatro SSD de 2.5" para poder alojar un almacenamiento masivo de datos. El económico TS-1635 quad-core viene con dos puertos 10GbE y puertos duales Gigabit, cumpliendo así con los requisitos de las redes de última generación, la transferencia de archivos a alta velocidad, y ayudando a las pequeñas y medianas empresas a reducir el coste de la implementación de soluciones de 10GbE.

Equipado con un procesador AnnapurnaLabs, an Amazon company Alpine AL-514 quad-core de 1.7 GHz ARM® Cortex®-A15 de Amazon®, el TS-1635 soporta 4GB/8GB de RAM DDR3 (ampliable a 16 GB) y proporciona un cifrado acelerado por hardware que puede ofrecer un caudal de datos de hasta a 700 MB/s. Con bahías especiales de 2.5" para el almacenamiento en caché SSD y dos puertos de 10GbE SFP+ integrados, el TS-1635 ofrece hasta 1.228 MB/s de velocidad de lectura y 874 MB/s de velocidad de escritura, lo que le convierte en la opción ideal para usuarios que buscan una transferencia de datos muy rápida.

"En comparación con productos similares, el TS-1635 proporciona la solución NAS más económico y de mayor capacidad para las pequeñas/medianas empresas. Es compatible con hasta 16 unidades de disco duro, creando un potencial de almacenamiento increíble con discos duros de gran capacidad y SSD de alto rendimiento," ha comentado Jason Hsu, director de producto de QNAP, quien además ha añadido "con dos puertos de 10GbE integrados, el TS-1635 también ofrece una asequible puerta de entrada para que las pequeñas/ medianas empresas puedan adoptar la tecnología 10GbE".

La alta capacidad del TS-1635 ofrece múltiples aplicaciones de almacenamiento. Con el apoyo de VJBOD (JBOD virtual), los usuarios pueden aprovechar la gran capacidad del TS-1635 para ampliar el espacio de almacenamiento de otro NAS de QNAP y crear pools y volúmenes de almacenamiento virtuales en discos virtuales para el funcionamiento de los servicios NAS. Para maximizar el espacio de almacenamiento del TS-1635, los usuarios pueden conectar hasta dos chasis de ampliación de QNAP (UX-800P / UX-500P). Con este enorme potencial de capacidad, el TS-1635 es especialmente ideal para el almacenamiento de grabaciones de video-vigilancia. Utilizando sus 8 canales de cámaras IP gratuitos (ampliables a 40 canales mediante la compara de licencias adicionales), los usuarios pueden implementar un centro profesional de sistema de gestión de vídeo-vigilancia en red (VMS) con la Surveillance Station en el TS-1635.

El TS-1635 es ideal para que las pequeñas y medianas empresas puedan construir una nube privada segura. Es compatible con el intercambio de archivos multiplataforma en Windows®, Mac®, y Linux/UNIX, funcionando como un útil almacenamiento centralizado. También es compatible con los servicios de directorio Windows AD, LDAP y Windows ACL para mejorar la eficiencia de la configuración de permisos. Las funciones de copia de seguridad, restauración y sincronización de funciones (vía RTRR, rsync, FTP o CIFS/SMB) también están integradas en la app de Hybrid Backup Sync, lo que permite a los usuarios sincronizar de manera eficiente sus tareas de copia de seguridad con otros NAS de QNAP, servidores remotos y almacenamiento en la nube.

El TS-1635 proporciona excelentes herramientas de software para aumentar la productividad. La Container Station aporta tecnologías avanzadas de virtualización y ofrece Contenedores de QIoT para transformar el TS-1635 en una plataforma de nube privada de IoT para un desarrollo rápido de stacks de IoT. Qsirch, el motor de búsqueda de texto completo propiedad de QNAP, permite encontrar los archivos de forma rápida y soporta la búsqueda a través de archivos .eml almacenados en el NAS. QmailAgent permite a los usuarios gestionar de forma centralizada múltiples cuentas de correo electrónico desde los servicios de correo electrónico más populares y servidores IMAP. Qcontactz permite la centralización de la información de contacto, proporcionando una mayor organización de los recursos de redes profesionales.

Especificaciones clave

TS-1635: procesador AnnapurnaLabs, an Amazon company Alpine AL-514 quad-core 1.7 GHz ARM® Cortex-A15; RAM de 4GB/8GB SODIMM DDR3; cifrado acelerado por hardware; 2x puertos 10GbE & 2x puertos Gigabit RJ45; 1 x ranura de ampliación PCIe Gen2 (x2); 3x puertos USB 3.0; 1x altavoz; 1x salida de audio de 3.5mm

Disponibilidad:

El nuevo TS-1635 ya está disponible. Para más información, y ver la línea completa de NAS de QNAP, por favor visite www.qnap.com.

Leer más