Por: Rolando Fernández, Consultor
Como es de público conocimiento el día viernes 12 de mayo se difundió un ataque de Ransomware masivo, con un alto impacto a nivel global. Actualmente, de acuerdo a las autoridades europeas, se han reportado ataques en más de 150 países que afectaron a más 10.000 organizaciones y 200.000 usuarios finales. Asimismo, la recaudación reclamada para el recupero de la información encriptada ha superado la suma de USD 50.000.
El ataque tiene por objetivo encriptar el contenido de los equipos afectados y solicitar el pago de una suma en Bitcoins para su desencripción. Particularmente, para este ataque, se maneja la hipótesis de que el vector inicial fue una campaña masiva de mails engañosos (Phishing), conteniendo archivos adjuntos con el código malicioso.
El vector de ataque ha tenido éxito a partir de equipos expuestos a internet y que permiten el acceso al servicio SMB de Microsoft Windows. Dicho servicio, en su versión 1, posee una vulnerabilidad crítica detallada por el proveedor en su boletín de seguridad MS17-010 del 14 de Marzo, y para la cual ya existen exploits que fueron revelados por el grupo Shadowbrokers el 14 de abril. Por medio de dicha vulnerabilidad, es posible ejecutar código en forma remota y, una vez infectado el equipo, el mismo realiza una búsqueda de otros equipos conectados a la misma red, y que posean dicha vulnerabilidad para continuar propagándose. Adicionalmente busca rangos de direcciones IP aleatorios, lo que le permite infectar mayor cantidad de equipos y no solo aquellos que se encuentren en la red local donde se encuentra el dispositivo infectado.
A pesar de las contramedidas tomadas por los responsables de tecnología y seguridad a nivel global, se vio un constante incremento durante el fin de semana debido a que surgieron nuevas variantes del ataque que evitan dichas contramedidas.
Resulta importante señalar que existen reportes informando que la aplicación del parche oficial provisto por Microsoft, no asegura que la infección no pueda ocurrir. Un ejemplo de ello se ha informado para la versión Windows 2008 R1. La gravedad de la vulnerabilidad explotada ha tomado tal envergadura, que Microsoft ha optado por proveer parches para versiones no soportadas de su sistema operativo Microsoft Windows, entre ellas XP y 2003.
¿Qué hacer?
- Verificar que todos los servidores expuestos a internet no poseen los puertos 139 y 445 publicados.
- Aplicar el parche provisto por Microsoft en su boletín MS17-010, disponible en: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
- Para versiones de Microsoft Windows ya no soportadas, obtener el parche correspondiente publicado por Microsoft en: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598&ranMID=24542&ranEAID=TnL5HPStwNw&ranSiteID=TnL5HPStwNweqqVd5WiUlPRvQkSyFcGoA&tduid=(f335b124cd56cf64e96c594fceada3f9)(256380)(2459594)(TnL5HPStw Nw-eqqVd5WiUlPRvQkSyFcGoA)()
- Asegurarse que la solución antivirus implementada en su compañía posee actualizaciones para dicho Ransomware, y que las mismas se encuentren aplicadas en todas las estaciones de trabajo, verificando que se encuentren todas las protecciones activas.
- Asegurar que los archivos críticos se encuentran resguardados y que dichos resguardos no sean accesibles desde los posibles focos de infección.
- Si no se cuenta con una solución antivirus que posea actualización para el Ransomware, se recomienda implementar la herramienta provista por CCN-CERT en su página https://www.ccn-cert.cni.es/en/updatedsecurity/ccn-cert-statements/4476-herramienta-para-prevenir-la-infeccion-por-el-ransomwarewannacry.html
- Concientizar a los usuarios sobre la forma de identificar correos electrónicos de posibles actividades de Phishing, como así también respecto a la necesidad de evitar la apertura de cualquier archivo adjunto que no provenga da una fuente confiable.
Estas recomendaciones, con variantes en cada caso, aplican a nuevos tipos de campañas de ransomware que puedan aparecer.
Lo invitamos a contactarnos para conversar sobre cómo las soluciones de IBM Security pueden ayudarlo a protegerse mejor contra este y otros tipo de ataques.
Contáctenos
Artículos de interés:
Cómo aprovechar su herramienta SIEM para prevenir ataques de ransomware
Ver más
Cómo monitorear la red para el malware NoPetya