Cabecera-v2-web.jpg

Campaña de distribución del ransomware WannaCry


El día de hoy se ha observado una campaña de distribución de una variante de ransomware llamada WannaCry, que ha afectado a personas y empresas de varios países. Si bien, los casos de infección por ransomware no son nada nuevo, y ocurren a diario aquí y en todas partes del mundo, este ransomware ha cobrado notoriedad debido a su rápida diseminación, alcanzando una gran cantidad de víctimas en pocas horas. El ransomware es un tipo de software malicioso (malware) que infecta un dispositivo y restringe el acceso al mismo, en la mayoría de los casos, encriptando documentos personales hasta que la víctima pague un "rescate" exigido por el malware para desencriptarlos. Se puede transmitir de diversas formas. En el caso particular de la campaña de distribución de WannaCry se sospecha que ha sido mediante correos electrónicos con archivos adjuntos maliciosos.

WannaCry explota una vulnerabilidad de ejecución remota de código a través de Samba (SMB), pudiendo de esta manera propagarse, afectando al resto de sistemas Windows conectados en esa misma red que no estén debidamente actualizados. De esta manera, la infección de un solo equipo podría llegar a comprometer a toda la red corporativa. El análisis preliminar del código del ransomware indica que para explotar esta vulnerabilidad utiliza un exploit conocido como EternalBlue, publicada en abril por un grupo denominado Shadowbrokers.

De acuerdo al mapa monitoreo de botnets de MalwareTech podemos ver que también en Paraguay se ha observado actividad de WannaCry. De los incidentes relacionados a malware, alrededor del 80% de los reportes de los últimos dos años son casos de ransomware: CryptoWall, Locky, Cryptolocker, Zepto, Crysis, Wallet y muchos otros. Los casos afectan a todos los sectores: empresas, instituciones gubernamentales, instituciones finacieras, centros educativos, ciudadanos particulares.


Captura1.JPG



¿Cómo funciona WannaCry?

Al quedar infectado por WannaCry, el ransomware inmediatamente encripta y añade la extensión “.WCRY”. El ransomware encripta varios tipos de archivos: de ofimática, archivadores, fotos, videos, multimedia, correos, bases de datos, ódigos fuentes, proyectos y archivos relacionados a desarrollo, certificados y claves, archivos de diseño gráfico, máquinas virtuales, entre otros.

Luego de encriptar todos los archivos, el ransomware se comunica con los servidores para enviar las claves y luego ejecuta un comando para borrar todas las instantáneas de recuperación (Shadow Volume Copies), de manera que no se pueden utilizar para restaurar los archivos de la víctima.

Al finalizar esto, el ransomware despliega un mensaje indicando que los todos los archivos se han cifrado y mostrando en pantalla las instrucciones para pagar el rescate y recuperar los archivos. Además, establece un mensaje de alerta como fondo de pantalla. El pago exigido es en bitcoins, en algunas variantes se exige 0.16 BTC, equivalente a 300 USD aproximadamente, y en otras variantes se exige 0.32 BTC (600 USD).


. wannacry_05-1024x774.png


El ransomware intenta explotar una vulnerabilidad crítica de ejecución remota de código que afecta a SMB de modo a propagarse en las máquinas de la misma red que sean vulnerables. Se trata de una vulnerabilidad conocida, para la cual Microsoft ha publicado un parche el 14 de marzo (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx), incluso antes de que sea publicado el exploit EternalBlue.


El ransomware WannaCry encripta los archivos usando estándares de encriptación robusta (probablemente RSA + AES-128), la cual por el momento no es reversible, por lo tanto lleva a la pérdida de los archivos, los cuales no pueden ser descifrados sin la clave que queda en poder de los ciberdelincuentes.

Es por esto que las acciones preventivas son fundamentales:
  • No abrir nunca correos sospechosos, tanto si vienen de usuarios conocidos como desconocidos. Asegurarse siempre de que la persona que le ha enviado el correo realmente le quería remitir ese adjunto.
  • Evitar abrir los archivos adjuntos sospechosos. Incluso los archivos aparentemente inofensivos, como los documentos de Microsoft Word o Excel, pueden contener un malware.
  • No ingresar a enlaces dudosos que le son enviados a través de correo electrónico, servicios de mensajería, redes sociales, etc.
  • Realizar copias de seguridad (backup) de toda la información crítica para limitar el impacto de la pérdida de datos o del sistema y para facilitar el proceso de recuperación. Idealmente, estas copias deben hacerse de forma regular y deben mantener en un dispositivo independiente (disco duro externo, o servicios en la nube como OneDrive, Dropbox, etc.)
  • Contar con soluciones de antivirus/firewall y mantenerlo actualizado, de modo a prevenir la infección.
  • Mantener su sistema operativo y el software siempre actualizado, con los últimos parches.
  • No acceder nunca a ningún pago u acción exigida por el atacante.

Adicionalmente, se recomienda tomar medidas preventivas de modo a evitar la propagación del ransomware mediante de la vulnerabilidad de SMB, las cuales incluyen:

  • Actualizar los sistemas vulnerables o aplicar el parche publicado. Para los sistemas sin soporte o parche se recomienda aislar de la red y/o apagar.
  • Actualizar y/o incluir firmas en su antivirus e IDS.
  • Controlar y/o aislar la comunicación a los puertos 137 y 138 UDP y puertos 139 y 445 TCP en las redes de las organizaciones.
  • Descubrir qué sistemas, dentro de su red, pueden ser susceptibles de ser atacados a través de la vulnerabilidad mencionada, en cuyo caso, puedan ser aislados, actualizados y/o apagados. Para ello, puede seguir la siguiente guía: https://www.rapid7.com/db/modules/auxiliary/scanner/smb/smb_ms17_010

Aunque WannaCry ha generado muchos titulares en varios medios, no es la primera vez que se da una gran ola de infección por ransomware a nivel mundial ni será tampoco la última. En algunos casos, los rescates exigidos pueden ascender a cientos de miles de dólares. En ocasiones, negocios han tenido que parar completamente sus servicios por haber perdido el acceso a archivos vitales para el negocio. Se estima que la banda criminal de CryptoWall, un ransomware que se diseminó hace unos años, tuvo una ganancia de 325 millones de dolares. Teniendo en cuenta lo lucrativo de este "negocio" y la facilidad con la cual se puede propagar un malware, es seguro que el ransomware seguirá siendo un problema, lo cual debe ser una llamada de atención para tomar las medidas preventivas antes de ser víctimas.



Información adicional:

https://www.cert.gov.py/application/files/3914/946...
pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologías de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11