Skip to content
Marcelo Carvajal15-05-174 min read

Alerta de seguridad: Consolidado del ataque

  ANTECEDENTES GENERALES
 

¿QUÉ ES?

 

El malware, WannaCry viene en dos partes. En primer lugar, es un exploit cuyos objetivos son la infección y la propagación. El segundo componente es un cifrador que se descarga en el equipo después de que se ha infectado. Este ransomware cifra los archivos de los computadores con sistema operativo Windows (desde Vista SP2 hasta 10 y Server 2016), utilizando una vulnerabilidad remota de ejecución de comandos a través de SMB (facilidad de compartir archivos entre estaciones de trabajo). Como sus principales características se puede señalar:

 
  1. Carga el código dañino en el sistema.
  2. Crea copias en el sistema.
  3. Crea entradas de persistencia en el Registro de Windows.
  4. Cifra los archivos en todas las unidades que cumplan un patrón de extensión.
  5. Se propaga mediante el exploit MS17-010 por la red local y en Internet.
  6. Muestra información acerca del secuestro de los archivos y solicita un rescate para su recuperación.
  7. Ejecuta determinados programas incluidos en el código dañino.
  8. Finaliza determinados procesos de bases de datos para poder cifrar sus archivos.
  9. Elimina las copias de seguridad del sistema.
 

¿CÓMO SE PROPAGA?

Esta variante de ransomware incorpora código para realizar la explotación de la vulnerabilidad publicada por Microsoft el día 14 de marzo descrita en el boletín MS17-010 y conocida como ETERNALBLUE. El ransomware WannaCry, escanea tanto la red interna como la externa, realizando conexiones al puerto TCP 445 (SMB), y (UDP 137, 138 and TCP 139), en busca de equipos no actualizados, para propagarse a ellos e infectarlos,  lo que le agrega al malware la funcionalidad de un gusano. Este movimiento lateral dentro de la red utiliza una variante del payload DOUBLEPULSAR.

 

CONTENCIÓN DE LA AMENAZA EN WIDEFENSE 

El día viernes 12 de mayo Widefense detectó la alerta a nivel mundial de un ataque masivo producido por un malware tipo Ransomware conocida como ‘WannaCry’. Ante esto, se activó el equipo de respuesta a incidentes, de WD, el cual ha trabajado en forma continua desde ese instante y continuará hasta que disminuya la alerta. El equipo esta  trabajando en forma centralizada desde las oficinas de WD,  y además se desplegaron  equipos a terreno, de acuerdo al nivel de riesgo, con instrucciones precisas de acción. 

 

 

RESUMEN DE RECOMENDACIONES

 

1.  Actualice los sistemas a su última versión o parche según recomienda Microsoft: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx Si está utilizando versiones no soportadas por Microsoft, incluyendo Windows XP, Vista, Server 2003 o 2008, aplique el parche de emergencia publicado por Microsoft diponible en:   http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

2.  Respalde sus equipos críticos.  Revise la evaluación de software de backup disponible en:             https://www.widefense.com/text-backup-contra-ransomware/

3.  Visite sólo sitios oficiales, se podría producir un segundo ataque de Ransomware a través de falsos parches de seguridad de fabricantes.

4.   Mantenga sus sistemas de seguridad actualizados. (Firewall, IPS, Antispam, etc.)

5.   Bloquee el acceso a puertos SMB a través de la red o de Internet. El protocolo opera en los puertos TCP 137, 139 y 445 y en los puertos UDP 137 y 138.

6.   Asegúrese que las actualizaciones  que  previenen   amenaza, se han desplegado, y se han actualizado  en toda su red. 7.   Utilice protección de amenazas avanzadas, principalmente las basadas en tecnologías de nueva generación (Inteligencia Artificial, Machine Learnning y otras).

8.  Desconfíe de los documentos no solicitados enviados por correo electrónico y nunca haga clic en los enlaces dentro de esos documentos a menos que verifique la fuente.

9.   Mantenga actualizado su software antivirus. Si su antivirus cuenta con módulos de predicción  o Next-generation actívelos. 

10. Si ya se encuentra infectado se recomienda aislar el equipo de la red o apagar según sea el caso.

 
 

WIDEFENSE RECOMIENDA PARA EL LUNES 15 DE MAYO


 
  • Mantenga informados a sus colaboradores mediante comunicados y campañas de comunicación interna del riesgo que existe para que no sean vectores de transmisión de la amenaza. Refuerce:          – La apertura cautelosa de correos          – Evite abrir adjuntos de remitentes desconocidos y extensiones dudosas.          – No abrir e-mail con asuntos inentendibles.          – No hacer clic en links de correos que desconoce.
  • Controle y monitoree equipos que salieron de la red corporativa o estuvieron apagados durante el fin de semana y asegúrese que estos se encuentren actualizados, con los parches recomendados y no infectados.
  • Evalúe aumentar los niveles de sensibilidad de sus herramientas Antispam y Filtro de correo. Se sugiere controlar las extensiones: EXE, ZIP, RAR, ACE GZ, TAR, 7Z, Z, Z, BZ2, ZX, ISO.
  • Asegúrese de que sus sistemas pueden resolver y conectarse en TCP 80  los dominios siguientes: www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
  • La actualización de parches y firmas de antivirus puede generar un aumento de tráfico en la red, es conveniente que se monitoreé y se de prioridad a completar dichas actualizaciones.
  •  En la medida que pueda respalde sus equipos críticos antes de comenzar la operación.

Marcelo Carvajal

ARTÍCULOS RELACIONADOS