Latinoamérica. El Centro de Seguridad y Vigilancia Digital de A3SEC ha sido alertado de un ataque masivo de Ransomware contra varias empresas, que consiste en explotar una vulnerabilidad publicada por Microsoft el 14 de Abril de 2017, permitiendo la ejecución de código remotamente si se envía un mensaje manipulado al servicio SMBv1. Kaspersky, empresa rusa de seguridad informática, estimó más de 45.000 ciberataques perpetrados por el virus del tipo ransomware.
“Los atacantes están cifrando la información de equipos de cómputos con los sistemas operativos desactualizados.Ttienen la posibilidad de vulnerar estos equipos secuestrando la información y cuando el usuario quiere acceder con sus datos, a cambio se le pide una suma de dinero en bitcoins”, afirma Jorge Imues, director de operaciones del Grupo A3SEC.
El ataque cibernético detectado fue categorizado en el nivel de alerta “muy alto” afectando de forma masiva a las empresas a nivel mundial. Algunos de los sistemas afectados son:
- • Microsoft Windows Vista SP2
- • Windows Vista x64 Edition Service Pack 2
- • Windows Server 2008 for 32-bit Systems Service Pack 2
- • Windows Server 2008 for x64-based Systems Service Pack 2
- • Windows 7 for 32-bit Systems Service Pack 1
- • Windows 7 for x64-based Systems Service Pack 1
- • Windows Server 2008 R2 for x64-based Systems Service Pack 1
- • Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
- • Windows 8.1 for 32-bit Systems
- • Windows 8.1 for x64-based Systems
- • Windows RT 8.1
- • Windows Server 2012 and R2
- • Windows 10
- • Windows Server 2016
Acciones recomendadas por parte de los expertos
Actualización 15-05-2017: Aunque en este momento la campaña de Ransonware WannaCry ya fue controlada, gracias a la acción de MalwareTech (un analista de malware), quien logró desviar el tráfico de los equipos comprometidos a un grupo de servidores dedicados a capturar el tráfico malicioso y prevenir el control de las computadoras infectadas, debemos tener en cuenta que aún son de acceso público los exploits EternalBlue/DloublePulse que dieron origen a este ataque.
En Colombia hay alrededor de 800 equipos concentrados principalmente en Bogotá, Medellín, Pereira, Cali y Bucaramanga con el servicio SMB expuesto en Internet y que podrían ser atacados si no aplican los parches de seguridad publicados por Microsoft.
De acuerdo a notificaciones recientes Microsoft incluyó a Windows XP dentro de las plataformas con parche para esta vulnerabilidad, un sistema operativo usado aún por algunos usuarios y que se había quedado sin actualizaciones desde Abril de 2014.
De acuerdo al mapa actual de infecciones solo quedan 623 equipos comprometidos que reportan actividad.
Estas son algunas de las recomendaciones que brinda Jorge Imues, director de operaciones del Grupo A3SEC, a todas las organizaciones que manejan sistemas operativos Windows y algunas precauciones que deben tomarse, con el fin de no seguir poniendo en riesgo la información valiosa.
• Identificar si hay equipos vulnerables con InsightVM (aka Nexpose) utilizando la firma CVE- 2017-0143 MS17-010 SMB RCE Detection. Adicionalmente validar el segmento público para identificar servicios SMB expuestos. Puede descargar una versión de prueba de InsightVM desde https://www.rapid7.com/products/insightvm/download/virtual-appliance/, en formato OVA, y luego montarla en cualquier sistema de virtualización, incluido Virtualbox. Recibirá en su correo un serial para el periodo de prueba.
• Instalar en los equipos vulnerables el boletín MS17-010 (Kb 4013389).
• Filtrar en el firewall perimetral los servicios SMB expuestos.
• Si su antivirus tiene la capacidad de identificar archivos maliciosos por hash, haga un barrido en todos los endpoint y servidores buscando el siguiente hash y póngalo en cuarentena: b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25.
• Si ya fue víctima del ataque manténgase actualizado a través de las redes sociales sobre los avances que hay para solucionar el problema, muchas empresas de seguridad están uniendo esfuerzos a través del proyecto www.NoMoreRansom.org #nomoreransom y mantienen actualizada la aplicación CRYPTO SHERIFF para descifrar archivos secuestrados por Ransomware.
• Actualice su antivirus y despliegue un escaneo masivo, asegúrese previamente de que el fabricante ya cuente con una firma para detectarlo.
CN-CERT ha desarrollado una aplicación que previene la ejecucion del Ransomware WannaCry, solo se debe terne encuenta que la aplicación debe ejecutarse después de cada reinicio del sistema: https://loreto.ccn-cert.cni.es/index.php/s/tYxMah1T7x7FhND
