Recomendaciones para mitigar el Ramsoware WannaCry

Definición:

Es un malware que afecta a sistemas operativos Windows el cual cifra archivos y solicita un pago en Bitcoins, este ataque empezó el viernes 12 de mayo en más de 70 países, se propaga por medio del puerto 445/TCP (SMB) y 137 (NetBIOS).

Sistemas Operativos afectados:

  1. Windows Vista
  2. Windows Server 2008
  3. Windows 7
  4. Windows Server 2008 R2
  5. Windows 8.1
  6. Windows Server 2012
  7. Windows Server 2012 R2
  8. Windows RT 8.1
  9. Windows 10
  10. Windows Server 2016

Fuente:

Screenshots:

Image for post
Image for post
Image for post
Image for post

Vulnerabilidad aprovechada: CVE-2017–0145

Permite que atacantes remotos ejecuten código arbitrario vía paquetes creados con mala intención aprovechando una vulnerabilidad en el servicio SMB de Microsoft.

SMBv1 server en:

1. Microsoft Windows Vista SP2;

2. Windows Server 2008 SP2 and R2 SP1;

3. Windows 7 SP1;

4. Windows 8.1;

5. Windows Server 2012 Gold and R2;

6. Windows RT 8.1;

7. Windows 10 Gold, 1511, 1607;

8. Windows Server 2016

Fuente: ,

¿Cómo prevenir el ataque?

  1. (Básico de inmediato), Actualizar el sistema operativo Windows con los últimos parches de seguridad: Microsoft Security Bulletin MS17–010 — Critical: Security Update for Microsoft Windows SMB Server (4013389), , Published: March 14, 2017, Version: 1.0
  2. Bloquear la comunicación de los puertos NetBios desde Internet:
  • 137/UDP, nbname Name Service, used for name registration and .
  • 138/UDP, nbdatagram NetBIOS Datagram Service
  • 139/TCP, nbsesion NetBIOS Session Service
  • 445/TCP , Microsoft-DS file sharing

3. Bloquear el acceso a la red de TOR (anonimato en la red).

  • Agregar en tu firewall una lista negra de IPs, un poco complicado pero en internet existe una lista, que se actualiza cada 30 minutos,

4. Si tu Firewall tiene la capacidad de bloqueo por Geolocalización bloquear IPs que vengan de países del este o chinos.

Método de Infección y propagación:

  • Se está realizando por medio de SPAM masivo, correo electrónico o a través de una memoria USB de manera directa a tu computadora.
  • Una vez que abres el archivo adjunto, automáticamente ejecuta el malware el cual genera dos acciones:

1. Busca otras computadoras con el sistema operativo Windows que están vulnerables en tu red interna o en otras redes alcanzables y ya no sería necesario enviar un correo o hacer otra acción adicional para su ejecución.

2. Desde la computadora windows infectada realiza una conexión hacia servidores que están en Internet llamados C&C (Command & Control) estos servidores sirven para descargarse otros componentes/payload del ramsoware o enviar instrucciones, por ello lo importante es bloquear estas direcciones IP a través de un Blacklist en tus sistemas perimetrales como el firewall de conexión de Internet, router de acceso, IDS/IPS.

Instalación del Ramsoware en tu computadora:

Una vez que tu computadora está infectado se intentará conectar a Internet hacia:

“xxx.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com” al puerto 80.

El puerto 80 se utilizar para la navegación (http, 80/TCP), este tráfico esta normalmente permitido en los firewalls de las empresas ya que es tráfico válido de navegación hacia Internet.

Luego crea el siguiente archivo y servicio:

· \tasksche.exe

· mssecsvc2.0

Sería recomendable que en tus computadoras internas identifiques el servicio anteriormente indicado, por ejemplo con las siguientes herramientas:

Archivos a Encriptar:

El ramsoware busca las siguientes extensiones en tu computadora para luego encriptarlos:

123 .jpeg .rb .cs .odt .tiff .602 .jpg .rtf .csr .onetoc2 .txt .doc .js .sch .csv .ost .uop .3dm .jsp .sh .db .otg .uot .3ds .key .sldm .dbf .otp .vb .3g2 .lay .sldm .dch .ots .vbs .3gp .lay6 .sldx .der” .ott .vcd .7z .ldf .slk .dif .p12 .vdi .accdb .m3u .sln .dip .PAQ .vmdk .aes .m4u .snt .djvu .pas .vmx .ai .max .sql .docb .pdf .vob .ARC .mdb .sqlite3 .docm .pem .vsd .asc .mdf .sqlitedb .docx .pfx .vsdx .asf .mid .stc .dot .php .wav .asm .mkv .std .dotm .pl .wb2 .asp .mml .sti .dotx .png .wk1 .avi .mov .stw .dwg .pot .wks .backup .mp3 .suo .edb .potm .wma .bak .mp4 .svg .eml .potx .wmv .bat .mpeg .swf .fla .ppam .xlc .bmp .mpg .sxc .flv .pps .xlm .brd .msg .sxd .frm .ppsm .xls .bz2 .myd .sxi .gif .ppsx .xlsb .c .myi .sxm .gpg .ppt .xlsm .cgm .nef .sxw .gz .pptm .xlsx .class .odb .tar .h .pptx .xlt .cmd .odg .tbk .hwp .ps1 .xltm .cpp .odp .tgz .ibd .psd .xltx .crt .ods .tif .iso .pst .xlw .jar .rar .zip .java .raw

Ramsoware WanaCry podría crear los siguientes archivos:

· r.wnry

· s.wnry

· t.wnry

· taskdl.exe

· taskse.exe

· 00000000.eky

· 00000000.res

· 00000000.pky

· @WanaDecryptor@.exe

· @Please_Read_Me@.txt

· m.vbs

· @WanaDecryptor@.exe.lnk

Tus archivos podrían ser cambiados de nombre de acuerdo a lo siguiente:

· file.docx is renamed to file.docx.WNCRY

· file.pdf is renamed to file.pdf.WNCRY

Fuente:

Written by

Blog de Ciberseguridad, Hacking, Recomendaciones de Protección y Buenas Practicas para las Empresas.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store