ALERTA DE SEGURIDAD WANADECRYPTOR: Acciones recomendadas

por / Sábado, 13 mayo 2017 / Publicado enBLOG, Latest posts, NOTICIAS, seguridad

NIVEL DE ALERTA: Muy Alta

wannacry

DESCRIPCIÓN DE LA AMENAZA

El Centro de Seguridad y Vigilancia Digital de A3SEC monitorizó el ataque masivo de Ransomware realizado a nivel global y que afectó a empresas de más de 100 países.
Se prevén incidencias serias durante los siguientes días.

Captura de pantalla 2017-05-15 a las 9.13.36

Captura de pantalla 2017-05-15 a las 9.12.47

El ataque WCRY o Wannacry consiste en explotar una vulnerabilidad publicada por Microsoft el 14 de marzo de 2017, permitiendo la ejecución de código remoto al enviar un mensaje manipulado al servicio SMB v1 a través del puerto 445 (SMB) y 137 (NetBIOS). Lo curiosos es que estos vectores de entrada fueron publicados por el grupo de hackers ShadowBrockers que denunciaron que dichos exploits fueron descubiertos y utilizados por la NSA para espionaje.

Una vez se infecta un ordenador este realiza dos acciones, un escaneo de red LAN en busca de ordenadores con la misma vulnerabilidad para ser infectados (funciona como un “gusano”) y por otro lado se conecta a diferentes servidores remotos para descargar el resto de componentes de malware, terminar encriptando el disco duro y pedir el rescate (Bitcoins).

SISTEMAS AFECTADOS

• Microsoft Windows Vista SP2
• Windows Vista x64 Edition Service Pack 2
• Windows Server 2008 for 32-bit Systems Service Pack 2
• Windows Server 2008 for x64-based Systems Service Pack 2
• Windows 7 for 32-bit Systems Service Pack 1
• Windows 7 for x64-based Systems Service Pack 1
• Windows Server 2008 R2 for x64-based Systems Service Pack 1
• Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
• Windows 8.1 for 32-bit Systems
• Windows 8.1 for x64-based Systems
• Windows RT 8.1
• Windows Server 2012 and R2
• Windows 10
• Windows Server 2016

ACCIONES RECOMENDADAS

1. Identificar si hay equipos vulnerables con InsightVM (aka Nexpose) utilizando la firma CVE-2017-0143 MS17-010 SMB RCE Detection. Adicionalmente validar el segmento público para identificar servicios SMB expuestos. Puede descargar una versión de prueba de InsightVM desde

https://www.rapid7.com/products/insightvm/download/virtual-appliance/, en

formato OVA, y luego montarla en cualquier sistema de virtualización, incluido Virtualbox. Recibirá en su correo un serial para el periodo de prueba.

2. Instalar en los equipos vulnerables el boletín MS17-010 (Kb 4013389).

3. Filtrar en el firewall perimetral los servicios SMB expuestos.

4 Si su antivirus tiene la capacidad de identificar archivos maliciosos por hash, haga un barrido en todos los endpoint y servidores buscando el siguiente hash y póngalo en cuarentena:

b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25.

5. Si ya fue víctima del ataque manténgase actualizado a través de las redes sociales sobre los avances que hay para solucionar el problema, muchas empresas de seguridad están uniendo esfuerzos a través del proyecto www.NoMoreRansom.org #nomoreransom y mantienen actualizada la aplicación CRYPTO SHERIFF para descifrar archivos secuestrados por Ransomware.

6. Actualice su antivirus y despliegue un escaneo masivo, asegúrese previamente de que el fabricante ya cuente con una firma para detectarlo (ver lista de virustotal)

REFERENCIAS

VIRUS TOTAL: @WanaDecryptor@.exe

https://virustotal.com/en/file/b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25/analysis/

MICROSOFT: Microsoft Security Bulletin MS17-010 – Critical

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

SUBIR