El ataque masivo de ransomware WannaCry/Wcry golpea a varios países

 

A principios de año, se descubrieron dos riesgos de seguridad distintos: CVE-2017-0144, una vulnerabilidad en el servidor SMB que podría permitir la ejecución remota de código y que se reparó en marzo, y WannaCry/Wcry, una familia relativamente nueva de ransomware que fue encontrada a finales de abril. Anteriormente WannaCry se difundió a través de URL de Dropbox integradas en correos electrónicos, pero ahora nuevas variantes se están propagando a través de esta vulnerabilidad SMB previamente encontrada. Esto ha dado como resultado uno de los ataques de ransomware más graves y serios que ha afectado a usuarios en todo el mundo.

La nota de rescate exigía que se realizara un pago de 300 dólares en Bitcoin; tengamos en cuenta que el rescate demandado ya es inferior a la cantidad solicitada en los ataques anteriores. Aparte de los ataques iniciales en el Reino Unido, otros países también se han visto afectados en gran número.

Trend Micro detecta las variantes utilizadas en este ataque como RANSOM_WANA.A y RANSOM_WCRY.I. Los clientes ya están protegidos contra esta amenaza a través de Predictive Machine Learning y otras relevantes funciones de protección del ransomware que se encuentran en las funciones de Trend Micro XGen™ security.

[RELACIONADO: Identifique las lagunas existentes en su solución de protección para el endpoint utilizando la herramienta gratuita de evaluación Trend Micro Machine Learning Assessment]

Vector de infección

La vulnerabilidad utilizada en este ataque (código llamado EternalBlue) estaba entre las filtradas por el grupo Shadow Brokers que supuestamente fue robada de la Agencia de Seguridad Nacional (NSA). La vulnerabilidad se aprovechó para colar un archivo en el sistema vulnerable que luego sería ejecutado como un servicio. Esto entonces dejaría caer

el archivo real del ransomware en el sistema afectado, cifrando archivos con la extensión .WNCRY. (También se eliminaría un archivo de componente separado para mostrar la nota de rescate). Archivos con un total de 166 extensiones, incluyendo aquellas usadas comúnmente por Microsoft Office, bases de datos, archivos de ficheros, archivos multimedia y varios lenguajes de programación.

Figura 1. Diagrama de infección

 

Figura 2. Nota de rescate

La respuesta de Smart Protection Network indica que aparte del Reino Unido, Taiwán, Chile y Japón fueron afectados significativamente por esta amenaza. India y los Estados Unidos también se ven afectados.

Para propagarse a otros sistemas, utiliza el archivo que se eliminó y se ejecuta como un servicio. El servicio utiliza el nombre «Microsoft Security Center (2.0)». Este servicio busca otras acciones de SMB en la red y utiliza la vulnerabilidad de EternalBlue para propagarse a otros sistemas.

Figura 3. Servicio añadido

Como apuntamos anteriormente, la vulnerabilidad SMBv1 utilizada en este ataque ya fue parcheada en marzo por Microsoft. Incluso antes de eso, en septiembre de 2016, Microsoft había instado a los usuarios a migrar urgentemente de SMBv1, que se remonta a principios de 1990. El US-CERT también emitió recomendaciones similares. Las organizaciones que siguieron estas mejores prácticas -tanto a la hora de aplicar los parches como en lo que se refiere a la configuración adecuada de los servicios SMB- no se habrían visto afectadas por este ataque.

Soluciones Trend Micro

Trend Micro OfficeScan™ con XGen endpoint security aporta high-fidelity machine learning con otras tecnologías de detección e inteligencia global de amenazas para una protección completa contra ransomware y malware avanzado. Como se mencionó anteriormente, Trend Micro los detactó como RANSOM_WANA.A y RANSOM_WCRY.I. Los productos con Predictive Machine Learning y todas las funcionalidades de protección de ransomware más relevantes habilitadas ya están protegidos contra esta amenaza.

 

Trend Micro Deep Security™ y Vulnerability ProtectionDeep Discovery™ Inspector y TippingPoint protegen contra esta amenaza. Para obtener una lista completa de reglas y filtros asociados para los productos Trend Micro y TippingPoint, consulte esta página de soporte de Trend Micro.

A continuación se presentan los hash SHA256 relacionados con este ransomware:

  • 043e0d0d8b8cda56851f5b853f244f677bd1fd50f869075ef7ba1110771f70c2
  • 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa
  • 11d0f63c06263f50b972287b4bbd1abe0089bc993f73d75768b6b41e3d6f6d49
  • 16493ecc4c4bc5746acbe96bd8af001f733114070d694db76ea7b5a0de7ad0ab
  • 190d9c3e071a38cb26211bfffeb6c4bb88bd74c6bf99db9bb1f084c6a7e1df4e
  • 201f42080e1c989774d05d5b127a8cd4b4781f1956b78df7c01112436c89b2c9
  • 2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41d
  • 3f3a9dde96ec4107f67b0559b4e95f5f1bca1ec6cb204bfe5fea0230845e8301
  • 4186675cb6706f9d51167fb0f14cd3f8fcfb0065093f62b10a15f7d9a6c8d982
  • 4b76e54de0243274f97430b26624c44694fbde3289ed81a160e0754ab9f56f32
  • 57c12d8573d2f3883a8a0ba14e3eec02ac1c61dee6b675b6c0d16e221c3777f4
  • 78e3f87f31688355c0f398317b2d87d803bd87ee3656c5a7c80f0561ec8606df
  • 940dec2039c7fca4a08d08601971836916c6ad5193be07a88506ba58e06d4b4d
  • 9fb39f162c1e1eb55fbf38e670d5e329d84542d3dfcdc341a99f5d07c4b50977
  • a3900daf137c81ca37a4bf10e9857526d3978be085be265393f98cb075795740
  • b47e281bfbeeb0758f8c625bed5c5a0d27ee8e0065ceeadd76b0010d226206f0
  • b66db13d17ae8bcaf586180e3dcd1e2e0a084b6bc987ac829bbff18c3be7f8b4
  • b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25
  • c365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf9
  • dff26a9a44baa3ce109b8df41ae0a301d9e4a28ad7bd7721bbb7ccd137bfd696
  • ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
  • eeb9cd6a1c4b3949b2ff3134a77d6736b35977f951b9c7c911483b5caeb1c1fb
  • f8812f1deb8001f3b7672b6fc85640ecb123bc2304b563728e6235ccbe782d85
  • fc626fe1e0f4d77b34851a8c60cdd11172472da3b9325bfe288ac8342f6c710a

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.