A nivel mundial (74 países), en las últimas horas se ha detectado una nueva variante de Ransomware (WannaCry) que se propaga rápidamente, provocando la perdida y cifrado de diversos archivos almacenados en los equipos de cómputo.

Dicha vulnerabilidad está identificada y documentada como CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146 y CVE-2017-0148.

Sistemas afectados:

Equipos de trabajo y servidores con sistemas operativos Windows.

¿Qué está sucediendo?

El ataque se aprovecha de una vulnerabilidad de seguridad documentada por Microsoft en el boletín  MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx) liberado el pasado 17 de marzo del 2017, este vulnerabilidad afecta a losequipos que no tienen las últimas actualizaciones de seguridad, dicha la vulnerabilidad radica en permitir la ejecución remota de código de Windows SMB. En la mayoría de los casos la variante de Ransomware conocida como “WannaCry”, “WCry” o “Wanna Cryptor” está siendo distribuida por correo electrónico a través de correo spam.

Un grupo de hacker llamado “Shadow Brokers”, comentó que obtuvo la información de cómo aprovechar esta vulnerabilidad de los documentos del programa de espionaje de la NSA (National Security Agency). Esta vulnerabilidad fue denominada por la Agencia como “ETERNALBLUE” y permite acceso a prácticamente cualquier equipo con sistema operativo Windows que emplee algún protocolo de red para compartir archivos.

En los incidentes de seguridad del día de hoy relacionados con WannaCrypt, se trata de un ejecutable de ransomware que incluye funcionalidades adicionales de propagación. Tiene la capacidad de explorar y localizar otras máquinas y distribuirse hacia otros hosts alcanzables en la red interna y expuestos a través de la vulnerabilidad “ETERNALBLUE”. Debido a la naturaleza de la falla, este malware emplear características de un gusano, el cual no requiere de la interacción de los usuarios en los hosts víctimas para su propagación.

En la mayoría de los casos ocurridos el día de hoy, la infección comienza con un correo electrónico phishing, el cual incluye una URL maliciosa o un archivo adjunto que al ser ejecutado genera lo que se conoce como el «paciente cero», el cual infecta el equipo y de forma simultánea inicia la segunda fase con características de tipo gusano que permiten su propagación en la red interna.

Pantalla de equipos infectados en Fase 1

Impacto:

Esta vulnerabilidad afecta directamente a la disponibilidad de la información y de los sistemas que la almacenan, procesan y transmiten.

Afectación a los siguientes sistemas operativos:

Windows Vista, Windows 7, Windows 8.1, Windows RT 8.1, Windows 10 Windows Server 2008 y Windows Server 2008 R2, Windows Server 2012 y Windows Server 2012 R2, Windows Server 2016 y Server Core installation option.

Al momento:

Afectación en 99 países.

Soluciones

Prevención:

  • Aplicar de forma inmediata los parches de seguridad a los equipos con sistemas operativos Windows.
    • Si no es posible parchar el sistema (por ejemplo, para Windows Server 2003), considerar la segmentación de la red.
  • Agregar el hash descrito anteriormente en las listas negras de los Antivirus y dispositivos de seguridad perimetral.
  • Respaldar la información crítica.
  • Evitar sitios peligrosos en la web.
  • Educar a los usuarios para detectar posibles ataques cibernéticos perpetrados a través de correos electrónicos de phishing, banners infectados, correos electrónicos no deseados, intentos de ingeniería social, etc.
  • Restringir el tráfico del puerto 445/TCP y permitirlo en donde sea absolutamente necesario, como por ejemplo las ACLs (Access Control List) de los routers.
  • Usar y configurar Firewalls basados en host para limitar la comunicación en el puerto 445/TCP, especialmente comunicaciones entre Workstations.
  • Instalar una solución antivirus que no se base en firmas y que tenga la capacidad de proteger al equipo de ATPs y amenazas de día cero para las cuales no hay una firma de malware conocida (https://www.cylance.com/en_us/home.html).
  • Bloquear ejecución de archivos con MD5 y SHA-256:

SHA-256 ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa

MD5 7f7ccaa16fb15eb1c7399d422f8363e8

SHA-256 2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41dd

MD5 84c82835a5d21bbcf75a61706d8ab549

SHA-256 ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa

MD5 7bf2b57f2a205768755c07f238fb32cc

SHA-256 b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25

  • A nivel perímetro, bloquear conexiones entrantes y salientes delas direcciones IP identificadas como C&C.

231.221.211:9001

31.0.39:9191

202.160.69:9001

101.166.19:9090

121.65.179:9001

Pantalla de equipos infectados en Fase 2

Remediación:

  • En caso de infección, aislar el equipo de internet para evitar la propagación a la red interna.
  • Aplicar respaldos de los activos críticos.

 

 

 

 

 

 

 

 

Nota: Actualmente no existe una llave pública para descifrar el Ransomware.

 ¿Necesitas apoyo con la seguridad de tu Organización?

Contáctanos: contacto@scanda.com.mx

Para atención inmediata llama al: 1251 2777

 

 

Referencias

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

http://www.elmundo.es/tecnologia/2017/05/12/5915e99646163fd8228b4578.html

http://www.telegraph.co.uk/technology/0/ransomware-does-work/

http://www.telegraph.co.uk/news/2017/05/12/nhs-hit-major-cyber-attack-hackers-demanding-ransom/

http://www.zerohedge.com/news/2017-05-12/massive-ransomware-attack-goes-global-huge

https://www.cylance.com/content/cylance/en_us/blog/cylance-vs-wannacry-wanacrypt0r-2-0.html