ÚLTIMA HORA 14/05/2017 – 21.45h

La Europol eleva a 200.000 los ordenadores afectados:

La Europol eleva a 200.000 ordenadores en al menos 150 países. El portavoz de la organización Jan Op Gen Oorth ha reconocido que el número de individuos que han sido víctimas del ataque cibernético podría ser, no obstante, mucho mayor. Gen Oorth ha declarado que todavía es demasiado pronto para saber quién está detrás del ciberataque y cuál fue su motivación.

Existen tres variantes del malware:

El INCIBE informaba hoy de tres variantes:

  • La primera de ellas, WannaCrypt.A[1] realiza, como primer paso antes de comenzar a cifrar los documentos del equipo, un intento de conexión a una página web codificada internamente. Si consigue realizar la conexión con éxito, no cifra ningún documento. Si, por el contrario, no consigue realizar la conexión a la página web, comienza el cifrado de los documentos y solicita el pago del rescate de los documentos cifrados.
  • La segunda variante, WannaCrypt.B, comienza inmediatamente con el cifrado de los archivos para posteriormente solicitar el pago del rescate de los documentos cifrados. De acuerdo con el análisis realizado conjuntamente con Telefónica, esta variante es la que ha afectado a esta empresa en concreto.

Durante esta tarde se ha detectado una tercera variante por Kaspersky que también dispone de Kill Switch:

  • Esta es la nueva dirección del Kill Switch (ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com) que se encuentra en 32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf . Ha sido vista por primera vez por usuarios rusos: 01:53:26 GMT (2017–05–14 01:53:26.0).
  • Fuente: https://blog.comae.io/wannacry-new-variants-detected-b8908fefea7e

Se han identificado más de 100.000 equipos infectados por el WannaCrypt en 166 países distintos. España se encuentra en la posición 18 del ranking por países, con algo menos de 600 infecciones confirmadas de esta variante. Respecto a infecciones de WannaCrypt.B, en España de momento no hay datos disponibles, salvo que se trata de la variante que ha afectado a Telefónica.

Un experto en Ciberseguridad británico encuentra cómo detenerlo pero prevé una versión 2.0 este lunes:

Un experto en ciberseguridad británico, con pseudónimo MalwareTech, encontró ayer la clave para detener WannaCry. Vió que el malware tenía codificadas consultas a un dominio que no estaba registrado y decidió registrarlo. MalwareTech pagó los US$10,69 para comprar la dirección web, y al ser el propietario pudo acceder a los datos y ver cómo se propagaba el ransomware. Y no solo eso: al registrar la dirección también notó que el software malicioso se detuvo. Su hallazgo hizo que potenciales víctimas alrededor del mundo, tanto instituciones privadas como del gobierno, pudieran perder miles de millones de dólares.

Advertencia

Este domingo MalwereTech ha advertido que los hackers podrían actualizar el virus para remover el «interruptor de emergencia» que ayudó a detenerlo. «La version 1 de WannaCrypt se pudo detener, pero no la versión 2.0, que prevé para este lunes. Recomienda instalar cuanto antes el parche que Microsoft publicó en marzo. «Sólo estás seguro si instalas el parche lo antes posible», ha publicado en su Twitter.

Se trata de WannaCry, una variante de WannaDecrypt0r, un bug ransomware de Cybereweapon:

  • Nombre del virus: WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY
  • Vector: Todas las versiones de Windows anteriores a Windows 10 son vulnerables sin el parcheo para MS-17-010. Utiliza EternalBlue MS17-010 para propagarse.
  • Ransom: solicita entre $ 300 a $ 600 en Bitcoins por el rescate. Su función principal no es robar datos. Hay que codificar (eliminar) los archivos en el virus ‘rm’. Parece restablecer si el virus se bloquea.
  • Backdooring: Propaga el bug través de cada sesión RDP era correr el ransomware en el sistema. Además instala la puerta trasera DOUBLEPULSAR. (Fuente: Malwarebytes)
  • Boletín de Seguridad de Microsoft: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

 

Infecciones confirmadas

  • NHS (Reino Unido) – 16 hospitales en total afectados
  • Telefónica (España)
  • FedEx (EEUU)
  • Universidad de Waterloo (EEUU)
  • Rusia y del Ministerio del Interior Megafon (Rusia)
  • Banco Сбера (Rusia)
  • Shaheen Airlines (India)
  • Estación de tren en Frankfurt (Alemania)
  • Estación de Neustadt (Alemania)
  • Ferrocarriles de Rusia (RZD) banco VTB ruso (Rusia)
  • Portugal Telecom
  • Renault (Francia)
  • Tribunal de Justicia (Brasil)

 

¿Cómo se manifiesta?

O vía phishing o descargando el bug de un enlace malificioso. Tras instalarse en el equipo, el ransomware bloquea el acceso a los ficheros del ordenador afectado pidiendo un rescate mediante Bitcoins, lo que no garantiza que se liberen los sistemas operativos. Se propaga por la red, infectando al resto de ordenadores. WanaCrypt0r cifra archivos del disco duro con extensiones como .doc .dot .tiff .java .psd .docx .xls .pps .txt o .mpeg, entre otros.

Figura 1: Así se manifiesta WannaCry
  • Ha tenido éxito en más de 150 países, entre ellos España, Taiwán, Rusia, Portugal, Ucrania, Turquía y Reino Unido.
  • Más de 200.000 ordenadores afectados
  • Afecta sólo a Windows: la NSA, agencia de seguridad de Estados Unidos, había alertado de un fallo en Windows en un documento que filtró Wikileaks.
  • Microsoft distribuyó un parche en marzo para solucionar el problema: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
  • Los trabajadores de algunas compañías afectadas han tenido que apagar inmediatamente sus equipos y desconectado servidores, en algunos casos.

 

Figura 2: Imagen de una sala afectada por WannaCry

 

Figura 3: Comunicación interna de Telefónica a sus trabajadores

 

El esquema de ataque: por Chema Alonso, CDO de Telefónica:

Fuente: http://www.elladodelmal.com/2017/05/el-ataque-del-ransomware-wannacry.html?m=1

  • Fase de infección: Spam masivo a direcciones de correo electrónico de todo el mundo con un enlace que descargar el dropper. (El que descarga el payload)
  • Cuando se descarga el dropper la máquina se infecta:
  • Desde la máquina infectada se escanea la LAN en busca de equipos vulnerables a MS17-10 para infectar a ese equipo también y continuar la infección.

 

¿Cómo se puede mitigar?

  • Actualizar los sistemas a su última versión o parchear según informa el fabricante
  • Para los sistemas sin soporte o parche se recomienda aislar de la red o apagar según sea el caso.
  • Deshabillitar via GPO la ejecución de archivos con extensión WNCRY.
  • Aislar la comunicación a los puertos 137 y 138 UDP y puertos 139 y 445 TCP en las redes de las organizaciones.
  • Descubrir qué sistemas, dentro de su red, pueden ser susceptibles de ser atacados a través de la vulnerabilidad de Windows, en cuyo caso, puedan ser aislados, actualizados y/o apagados.
  • Habilitar las funcionalidades avanzadas de seguridad tanto perimetral como de Centro de Datos como son IPS y AV

 

Quiero prevenir o asesorarme

Desde Necsia estamos a tu servicio para asesorarte y/o ayudarte a detectar, mitigar y responder ante ransomware con soluciones específicas de seguridad IT, como Network Access Control, Anti-Ransomware y/o anti-APT de red, entre otros. Además, podemos ayudarte con planes de formación y concienciación para reducir de forma importante las vulnerabilidades del eslabón más débil, tus empleados. Contáctanos: info@necsia.es

 

Fuentes:

GitHubHist: https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168

Microsoft: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Malwarebytes: https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm -Que-diferenciales-wanacrypt0r/

El lado del mal, blog de Chema Alonso (CDO, Telefónica): http://www.elladodelmal.com/2017/05/el-ataque-del-ransomware-wannacry.html?m=1

El País: http://tecnologia.elpais.com/tecnologia/2017/05/12/actualidad/1494586960_025438.html

Fortinet: https://blog.fortinet.com/2017/05/12/protecting-your-organization-from-the-wcry-ransomware

BBC Mundo. http://www.bbc.com/mundo/noticias-39910776

INCIBE: https://www.incibe.es/sala-prensa/notas-prensa/actualizacion-informativa-los-ciberataques-producidos

La Vanguardia: http://www.lavanguardia.com/economia/20170514/422577564895/ciberataque-europol-ransomware.html

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies