Centro de Seguridad y Vigilancia Digital (CSVD): Actualización Aviso de Seguridad WannaCry II (Mayo)

por / Viernes, 19 mayo 2017 / Publicado enBLOG, Latest posts, NOTICIAS, seguridad

Actualización 18-05-2017: A raíz del análisis realizado sobre los múltiples equipos infectados con WannaCry, se descubrió un nuevo malware del tipo cryptocurrency miner conocido como Adylkuzz, que estaba explotando la misma vulnerabilidad en SMBv1 desde el 24 de abril de 2017. Este malware desactivaba SMBv1 para evitar que otro virus infecte el equipo y su único fin es aprovechar los recursos de máquina (CPU y RAM) para generar una criptomodena conocida como Monero, enriqueciendo a los ciberdelincuentes que tienen comprometida la máquina. Toda la información procesada es transmitida a los Command & Control alojados en los siguientes dominios: 08.super5566.com, a1.super5566.com, aa1.super5566.com.

CSVD_Wannary_1Con respecto a Wannacry los ciberdelincuentes han logrado recaudar hasta la fecha 85,838USD desde el viernes 12 de Marzo. Hoy 19 de Marzo se cumple la fecha límite para que las primeras víctimas del malware paguen el secuestro (600USD) o de lo contrario su información será eliminada. Se espera que para el día de hoy la cifra recaudada se incremente drásticamente.

 

 

 

En lo que concierne a Colombia, en un estudio realizado por A3Sec sobre el segmento público de nuestro país, se pudo identificar alrededor de 1.600 IPs públicas con el servicio SMB expuesto y el sistema operativo Windows, lo que podría hacerlas vulnerables a cualquier de los dos ataques recientes.

CSVD_WannaCry_2

 En el mapa actual de infección de Wannacry, podemos ver que algunas de sus variantes siguen registrando actividad, con 866 equipos activos y un total de 300 mil maquinas infectadas.

CSVD_WannaCry_3

 

 Actualización 15-05-2017: Aunque en este momento la campaña de Ransonware WannaCry ya fue controlada, gracias a la acción de MalwareTech (un analista de malware), quien logró desviar el tráfico de los equipos comprometidos a un grupo de servidores dedicados a capturar el tráfico malicioso y prevenir el control de las computadoras infectadas, debemos tener en cuenta que aún son de acceso publico los exploits EternalBlue/DloublePulse que dieron origen a este ataque.

En Colombia hay alrededor de 800 equipos concentrados principalmente en Bogotá, Medellín, Pereira, Cali y Bucaramanga con el servicio SMB expuesto en Internet y que podrían ser atacados si no aplican los parches de seguridad publicados por Microsoft.

De acuerdo a notificaciones recientes Microsoft incluyó a Windows XP dentro de las plataformas con parche para esta vulnerabildiad, un sistema operativo usado aún por algunos usuarios y que se había quedado sin actualizaciones desde Abril de 2014.

De acuerdo al mapa actual de infecciones solo quedan 623 equipos comprometidos reportan actividad.

CSVD_WannaCry_4

CSVD_WannaCry_5

SUBIR