¿Por qué hablar de las amenazas si podemos ofrecer soluciones? A lo largo de esta semana se ha hablado mucho del conocido como “Wannacry 2”. Petya, que así es como se conoce, no es una amenaza nueva pero ha dado mucho de qué hablar en los últimos días. Hace tiempo hablamos de una herramienta conocida como MBRFilter. ¿Quieres conocer cómo puede ayudarte a prevenir la infección de esta amenaza?
De entrada, hay que indicar que las amenazas informáticas han evolucionado. Han sido varias las áreas en las que se puede apreciar esta mejora. Pero sin lugar a dudas, la instalación y persistencia es un aspecto fundamental. Con la llegada de los ransomware, los propietarios de muchos virus informáticos anteriores a estos han visto una oportunidad que no solo les permite actualizar sus amenazas, sino dotarlas de nuevas funcionalidades.
Petya fue una amenaza que apareció por primera vez el pasado año y que pasó sin pena ni gloria. Para ser más exactos, por aquel entonces la repercusión fue escasa. Pero los ransomware han abierto una nueva vía, provocando que los ataques sean mucho más complejos. Sin ir más lejos, la distribución de esta amenaza esta misma semana ha provocado el caos en muchas empresas. La principal arma con la que cuenta esta amenaza es su instalación en el MBR. Para todos aquellos que no sepan de qué estamos hablando, a continuación realizamos una breve explicación.
Del inglés Master Boot Record, el conocido como MBR es el sector 0 de nuestro disco duro, bien sea un HDD o SSD. Es decir, es el que contiene la información de arranque.
¿Que tiene que ver Petya con el MBR?
Se trata de nada más y nada menos que su lugar de instalación. Es decir, mientras otras amenazas utilizan el sistema de ficheros como el lugar de instalación, esta decide centrarse en el MBR, y así conseguir persistencia y hacerse fuerte frente a las herramientas de seguridad, dejando descolocados a los usuarios que no son capaces de obtener toda la información de qué es lo que está sucediendo en su equipo.
Para evitar este problema vamos a hablar de esta herramienta.
¿Qué me aporta MBRFilter?
Después de ver que la amenaza se instala en el MBR, los desarrolladores pensaron cuál es la mejor opción. El personal de Cisco pensó que la mejor solución era configurar en “modo lectura” este parte de nuestro disco. Para ser más exactos, MBRFilter solo es un driver que modifica el estado del Master Boot Record y que es compatible con aquellos equipos que posean un sistema operativo Windows.
Obviamente, esta utilidad desempeña su función antes de que nos hayamos visto afectados por Petya u otra amenaza de características similares. Si el equipo está infectado, su instalación no supone una mejoría, siendo necesario que optemos por el formateo de la unidad de disco infectada.
A nivel de arquitectura es totalmente funcional con sistema tanto de 32 como de 64 bits.
En el caso de que estemos infectados, la instalación de esta es un error, ya que protege la instalación de los archivos de la amenaza, evitando que las herramientas de seguridad sean incapaces de eliminarla de forma correcta.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad