Todo lo que debes saber del Ransomware WannaCry

jesusdubront

En principio debemos explicar que este ataque está compuesto de al menos tres partes:

  1. Principalmente llega vía email, con un archivo anexo infectado.
  2. El paquete es un Troyano que se conecta  a un sitio web donde descarga el Ransomware.
  3. Infecta la maquina con el Ransomware y se esparce como gusano  a otros equipos explotando una vulnerabilidad de Windows SMB 1.0.

Aspectos importantes

  1. WannaCry explota una vulnerabilidad previamente patcheada que afecta SMB v1.0, CVE-2017-0145, esta vulnerabilidad fue patcheada por Microsoft el 14 Marzo 2017, patch MS17-010. Para mayor información

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

2. Vectores de ataque

  • Principalmente vía Phishing, correo con archivo anexo infectado, el cual al ser ejecutado descarga un Troyano.
  • El Troyano continene el Ransomware infecta el equipo y además actua como un Gusano buscando explotar la vulnerabilidad CVE-2017-0145 en SMB v1.0 en equipos Windows que no han sido patcheados de la misma red, a través del escaneo del puerto 445.

3. Las capacidades del Gusano estan basadas en un Exploit (programa diseñado para violar una vulnerabilidad específica) creado por la NSA llamado «Etermal Blue», el cual crea un paquete especial para ser enviado al servidor con SMBv1.0

4. Afecta versiones anteriores de Windows

  • Windows 10 NO es afectado por la vulnerabilidad CVE-2017-0145, es decir, si wannaCry logra ejecutarse en un equipo Win 10, va a ser cifrado de igual forma, pero no se va a extender a otras máquinas inferiores a win 10.
  • Sistemas afectados por la vulnerabilidad Windows Vista/7/8
  • Tambien estan afectados versiones no soportadas como Win XP y Win server 2003
  • Microsoft liberó patch para equipos no soportados, favor descargar.

5. Recomendaciones

  • El exito del ataque se origina a que las empresas, organizaciones, particulares no aplicaron el patch que se libero en el mes de marzo, por lo que siempre insistimos en adoptar un proceso de gestion de amenazas y vulnerabilidades efectivo, cuyo tiempo de aplicación no sea mayor a un mes una vez liberado el patch. Recordemos que pasaron 28 dias desde que se detecto la vulnerabilidad  el Exploit hasta el ataque.
  • La solución Antimalware debe estar actualizada al día, ya todos los fabricantes de Antivirus tienen las firmas nuevas disponibles, hay soluciones de Endpoint Security basados en inteligencia artificial que detienen el malware desde un principio.(preguntenos).
  • El vector de ataques es el phishing, debemos entrenar a nuestra fuerza de trabajo y enseñarlos a actuar ante correos y archivos sospechosos o correos con links sospechosos de origen desconocidos.
  • SMBv1.0 no es seguro, considerar migrar a versiones nuevas. Ya quedó demostrado con este ataque, pero se esperan ataques de otros malware contra la misma vulnerabilidad.
  • Seguridad por capas:
    • Filtrado de paquetes en los firewalls que bloquee trafico externo a maquinas internas o viceversa.
    • Adoptar soluciones de sandbox, estas son maquinas virtuales que ejecutan de forma controlada archivos sospechosos.
    • Actualizar las firmas de IPS y host IPS para trafico contra la vulnerabilidad CVE-2017-0145.
  • Implantar un proceso de backup acorde a las necesidades de negocio, debemos respaldar no solo informacion de los servidores sino tambien de las estaciones de trabajo, ya que estas son los primeros objetivos de ataque.
  • Si require mayor informacion o aclarar dudas por favor contactenos: soc@adv-ic.com y con gusto lo ayudamos a aclarar sus dudas y les daremos recomendaciones.

6. Medidas compensatorias

Si no puede aplicar los patchs de inmediato, deberia aplicar las siguientes medidas para limitar su exposición a la amenaza:

  • Deshabilite SMBv1.0, evidentemente esto afectara los servicios que tenga por este servicio: comparticion de discos y recursos.
  • Bloquee todo el trafico SMB entrante a los equipos vulnerables sobre el puerto 445

En ADV Integradores y consultores estamos a su disposición para apoyarlos con la estrategia de ciberseguridad que permita hacer frente a este tipo de amenazas, definiendo procesos efectivos que gestionen las vulnerabilidades que es uno de los principales retos a atender todos los que tenemos como responsabilidad mejorar la postura de seguridad de las organizaciones.

Jesús Dubront, CISM
Director
ADV Integradores y consultores
jesus.dubront@adv-ic.com | @jdubront | http://www.adv-ic.com | @adv_ic  | Linkedin: ADV Integradores y consultores | Facebook:ADV Integradores y consultores

Publicado por jesusdubront

4 Comments

  1. Pingback: Bad Rabbit: nuevo ataque de ransomware – Blog Ciberseguridad ADV integradores y consultores
  2. Pingback: Microsoft: Martes de Parcheo, 56 fallas de seguridad incluyendo Día Cero. – Blog Ciberseguridad ADV integradores y consultores
  3. Pingback: Minería de criptomonedas ¿el nuevo Ransomware? – Blog Ciberseguridad ADV integradores y consultores
  4. Pingback: Identificado Malware para CVE-2018-8453 reportado el martes 16 Octubre 2018 – Blog Ciberseguridad ADV integradores y consultores

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s