Cisco Ransomware Defense | Acerca de WannaCry y como Protegerse

By May 15, 2017NOTICIAS

screen-shot-2017-05-15-at-10-41-46-am
Un importante ataque de ransomware ha afectado a muchas organizaciones de todo el mundo, incluyendo Telefónica en España, el Servicio Nacional de Salud en el Reino Unido y FedEx en Estados Unidos. El malware responsable de este ataque es una variante de ransomware conocida como ‘WannaCry’.

El malware tiene entonces la capacidad de escanear en gran medida el puerto 445 (Server Message Block / SMB), propagándose de forma similar a un gusano, comprometiendo hosts, cifrando archivos almacenados en ellos y exigiendo un pago de rescate en forma de Bitcoin. Es importante tener en cuenta que esto no es una amenaza que simplemente escanea los rangos internos para identificar dónde se propagan, sino que también es capaz de propagarse basándose en vulnerabilidades que encuentra en otros hosts que se enfrentan externamente a través de Internet.

Además, Talos ha observado muestras de WannaCry haciendo uso de DOUBLEPULSAR que es una puerta trasera persistente que se utiliza generalmente para acceder y ejecutar código en sistemas previamente comprometidos. Esto permite la instalación y activación de software adicional, como malware. Esta puerta trasera normalmente se instala después de la explotación exitosa de las vulnerabilidades SMB tratadas como parte del boletín de seguridad de Microsoft MS17-010. Esta puerta trasera está asociada con un marco de explotación ofensiva que fue lanzado como parte de la caché de Shadow Brokers que fue lanzado recientemente al público. Desde su lanzamiento ha sido ampliamente analizado y estudiado por la industria de la seguridad, así como en diversos foros subterráneos de hacking.

WannaCry parece utilizar principalmente los módulos ETERNALBLUE y la puerta trasera DOUBLEPULSAR. El malware utiliza ETERNALBLUE para la explotación inicial de la vulnerabilidad SMB. Si tiene éxito, implantará la puerta trasera DOUBLEPULSAR y la utilizará para instalar el malware. Si la vulnerabilidad falla y la backdoor DOUBLEPULSAR ya está instalada, el malware seguirá aprovechando esto para instalar la carga útil del ransomware. Esta es la causa de la actividad de tipo gusano que se ha observado ampliamente en Internet.


Las organizaciones deben asegurarse de que los dispositivos que ejecutan Windows estén completamente parchados y desplegados de acuerdo con las mejores prácticas. Además, las organizaciones deben tener puertos SMB (139, 445) bloqueados desde todos los hosts accesibles externamente.


Tenga en cuenta que esta amenaza todavía está bajo investigación activa, la situación puede cambiar a medida que aprendemos más o como nuestro adversario responde a nuestras acciones. Talos continuará monitoreando y analizando activamente esta situación para nuevos desarrollos y respondiendo en consecuencia. Como resultado, se puede desarrollar una nueva cobertura o adaptarse o modificarse en una fecha posterior. Para obtener información actualizada, consulte el Centro de administración de firepower o Snort.org.

Estado Actual del Ataque

  • Cisco TALOS realizó un análisis profundo del evento en las primeras horas del mismo, en donde se describio la anatomia del ataque de forma detallada.
  • Un especialista compró el nombre de dominio que usaba el Malware y tan pronto como éste estuvo en activo, se detectó que el ataque establecía más de 5.000 conexiones por segundo. Al activar el dominio de inmediato se frenó la propagación del malware.
  • Wanna Decrypt0r 2.0 no podía tener acceso a esa dirección y comenzó a funcionar de manera errante por la Red, buscando nuevos sitios que atacar de forma cíclica, hasta terminar por desactivarse.

Recomendaciones de Cisco TALOS

  • Cisco TALOS realizó un análisis profundo del evento en las primeras horas del mismo, en donde se describio la anatomia del ataque de forma detallada.
  • Un especialista compró el nombre de dominio que usaba el Malware y tan pronto como éste estuvo en activo, se detectó que el ataque establecía más de 5.000 conexiones por segundo. Al activar el dominio de inmediato se frenó la propagación del malware.
  • Wanna Decrypt0r 2.0 no podía tener acceso a esa dirección y comenzó a funcionar de manera errante por la Red, buscando nuevos sitios que atacar de forma cíclica, hasta terminar por desactivarse
  • Asegurese que su organizacion esta corriendo un Sistema Operativo que este activo y está siendo soportado por el Fabricante.
  • Tenga una politica efectiva de “Patch Management” que implemente actualizaciones de seguridad a todos sus dispositivos y otras areas criticas de sus infrastructura de manera periódica


Links y Documentos

Descargar en Formato PDF :FB_Ataque_Mayo_12_2017

Mas Informacion en el blog de Talos http://blog.talosintelligence.com/2017/05/wannacry.html