¿Por qué fue tan exitoso este troyano? ¿Qué tenía de especial?

El ataque fue bien preparado por los autores. NotPetya inicialmente se extendió a través del software de contabilidad M.E. Doc cuando los ciberdelincuentes piratearon el mecanismo de actualización del software para difundir NotPetya a los sistemas cuando se actualizó el software. Esta fue una amarga paradoja, ya que a los usuarios siempre se les recomienda actualizar su software, pero en este caso particular, un actualizador troyano de este software inició la cadena de infección. Este tipo de ataque de la cadena de suministro no era común en ese momento, lo que provocó un retraso en la determinación de la causa del ataque. La velocidad a la que se propagó a través de las redes infectadas fue fascinante.

Según los informes, el troyano se benefició de una vulnerabilidad conocida desde hace mucho tiempo: (¿qué) han aprendido las empresas / organizaciones de esto?

Para su movimiento lateral, NotPetya utilizó tres métodos diferentes de difusión: explotación de EternalBlue (conocido de WannaCry), explotación de EternalRomance y a través de redes compartidas de Windows utilizando las credenciales robadas de la víctima (esto se hizo a través de una herramienta tipo Mimikatz incluida, que contraseñas) y herramientas legítimas como PsExec y WMIC. Estas técnicas adicionales, incluida la explotación de vulnerabilidades conocidas para las que los parches habían estado disponibles durante mucho tiempo, probablemente fueron la razón por la que funcionó, a pesar de que EternalBlue recibió atención después del ataque WannaCry menos de dos meses antes del ataque NotPetya. Solo puedo esperar que las empresas hayan aprendido a actualizar sus sistemas operativos y aplicaciones tan pronto como esté disponible una actualización, a pesar de NotPetya, desafortunadamente, distribución a través de una actualización del producto.

¿Se puede redistribuir en cualquier momento de esta forma?



Source link