Ataque masivo de ransomware WannaCry

Inicio » Ataque masivo de ransomware WannaCry
DESCRIPCIÓN

En las últimas horas se ha presentado una oleada de infecciones con ransomware en varias compañías y organizaciones a nivel mundial, se trata del ransomware WannaCry. De acuerdo con el Centro Criptológico Nacional de España (CCN-CERT), esta amenaza se vale de una vulnerabilidad en el protocolo SMB, la cual es comprometida mediante un exploit conocido como “EternalBlue/DoublePulsar” relacionado con una filtración de la NSA liberada por el grupo Shadow Brokers hace algunas semanas.

Una vez que el ransomware WannaCry ha infectado una máquina, este se propaga a través del segmento de red del equipo comprometido, mediante el aprovechamiento de la vulnerabilidad mencionada, que permite la ejecución remota de comandos con privilegios de administrador. Dicha vulnerabilidad fue dada a conocer el 14 de marzo de 2017 a través de la liberación de un boletín de Microsoft catalogado como crítico con identificador MS17-010. Cabe mencionar que los sistemas operativos Microsoft Windows 7, Vista y Server 2008 ya no cuentan con soporte oficial, por lo que no existe una actualización para protegerlos ante esta amenaza.

Cuando este ransomware es ejecutado en un equipo vulnerable con alguno de los sistema operativos mencionados anteriormente, cifra toda la información contenida en él, y solicita un rescate de 300 USD para evitar que los archivos sean eliminados, mismo que debe ser cubierto en un periodo máximo de 6 días.

Se cree que las afectaciones generadas por WannaCry contempla hasta el momento 74 países, centrando su actividad en Europa y Asia, siendo los siguientes los más afectados:

  • España
  • Rusia
  • Reino Unido
  • Turquía
  • China
  • Taiwan
  • Indonesia
  • Kazajstán
  • Japón
  • Filipinas
  • Ucrania
  • Argentina

En el caso específico de Reino Unido se reporta que el sector salud ha sido afectado, específicamente hospitales de las ciudades de Londres, Blackpool, Nottingham, Cumbria, Hertforshire, entre otros más.

Hasta el momento MNEMO-CERT no cuenta con reportes que indiquen posibles afectaciones en México.

NIVEL DE RIESGO

Microsoft Security Bulletin [Crítico].

SISTEMA | TECNOLOGÍAS AFECTADAS
  • Microsoft Windows Vista SP2
    Microsoft Windows Server 2008 R2 SP1 y SP2
    Microsoft Windows 7
    Microsoft Windows 8.1
    Microsoft Windows RT 8.1
    Microsoft Windows Server 2012 R2
    Microsoft Windows 10
    Microsoft Windows Server 2016

MEDIDAS DE ERRADICACIÓN

Aplicar las actualizaciones liberadas por Microsoft que corrigen la vulnerabilidad utilizada por el ransomware en función del sistema operativo y que pueden descargarse del siguiente enlace: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

MEDIDAS DE MITIGACIÓN Y CONTENCIÓN
  • Verificar la existencia de servicios SMB expuestos a Internet y en caso de existir alguno deshabilitarlo o en su caso realizar los cambios pertinentes en lo equipos de seguridad perimetrales como:

    • Aplicación de reglas en los firewalls perimetrales para la restricción al servicio SMB.
    • Habilitar las firmas disponibles para el ataque “EternalBlue” en dispositivos IPS

    Habilitar un firewall de host para la restricción del servicio SMB.

    Aislar la comunicación a los puertos 137 y 138 UDP y puertos 139 y 445 TCP en las redes.

    En caso de que no se puedan aplicar los parches de seguridad de manera inmediata en los equipos se recomienda inhabilitar el servicio SMB.

    Dar aviso a los empleados y colaboradores dentro de su organización de esta amenaza, haciendo énfasis en no ejecutar archivos de procedencia sospechosa.

    Actualizar los sistemas operativos de Microsoft Windows a las versiones más recientes.

    Se recomienda que los sistemas operativos sin soporte sean aislados de la red o incluso sean apagados, de acuerdo con la evaluación del riesgo.

    Descubrir qué sistemas operativos dentro de su red, pueden ser susceptibles de ser atacados a través de la vulnerabilidad, en cuyo caso, puedan ser aislados, actualizados y/o apagados.

    Realizar respaldos periódicos de la información relevante.

MNEMO CERT

Síguenos en Twitter

#AlertaCiberseguridad Aparentemente el error en Photo API estuvo presente en su código desde el 13 al 25 de septiembre de 2018. blog.segu-info.com.ar/2018/12…

reply · retweet · favorite

CONTÁCTENOS

 
  • Paseo de la reforma 373 piso 5,CDMX, México
  • +52 (55) 3872 0238
  • cert@mnemo.com