Hay una nueva variedad de ataques que está afectando a muchos sistemas en todo el mundo (incluido el NHS en el Reino Unido y Telefónica en España), que se llama " WannaCry " entre otros nombres.
Parece ser un ataque estándar de phishing / ransomware, pero también se está propagando como un gusano una vez que entra en una red objetivo.
¿Cómo afecta este malware a los sistemas de las personas y cuál es la mejor manera para que las personas se protejan de este ataque?
Los ataques WannaCry se inician utilizando una vulnerabilidad de ejecución remota de código SMBv1 en el sistema operativo Microsoft Windows. El exploit EternalBlue fue parcheado por Microsoft el 14 de marzo y se puso a disposición del público a través del "basurero de Shadowbrokers" el 14 de abril de 2017. Sin embargo, muchas empresas y organizaciones públicas aún no han instalado el parche en sus sistemas. Los parches de Microsoft para las versiones heredadas de Windows se publicaron la semana pasada después del ataque.
¿Cómo prevenir la infección por WannaCry?
Asegúrese de que todos los hosts hayan habilitado soluciones anti-malware de punto final.
Instale el parche oficial de Windows (MS17-010) enlace , que cierra la vulnerabilidad del servidor SMB utilizada en este ataque de ransomware.
Escanear todos los sistemas. Después de detectar el ataque de malware como MEM: Trojan.Win64.EquationDrug.gen, reinicie el sistema. Asegúrese de que los parches MS17-010 estén instalados.
Realice una copia de seguridad de todos los datos importantes en un disco duro externo o en un servicio de almacenamiento en la nube.
Más información aquí: enlace
El ransomware está utilizando un exploit conocido y divulgado públicamente en SMBv1 (Server Message Block Version 1). Es un protocolo de nivel de aplicación utilizado para compartir archivos e impresoras en un entorno de red.
El protocolo SMBv1 se encuentra comúnmente en entornos de red de Windows e incluye sistemas operativos como Windows XP, Windows 7, 8, 8.1 y 10. Windows Vista y en adelante permiten el uso de SMBv1 , a pesar de que admiten los protocolos SMBv2 y v3 mejorados.
Es poco probable que los entornos que no utilizan la implementación de Microsoft se vean afectados por la vulnerabilidad y las vulnerabilidades relacionadas. Además, los entornos que no admiten SMBv1 tampoco se ven afectados.
Puede deshabilitar la compatibilidad con SMBv1, según las instrucciones de Microsoft: enlace
Aquellos que ejecutan Windows 8.1 o Windows Server 2012 R2 y versiones posteriores pueden deshabilitar la compatibilidad eliminando la función de Windows para "Compatibilidad con archivos compartidos SMB1.0 / CIFS".
Hay seis vulnerabilidades principales en la implementación de SMBv1 de Microsoft. Los primeros cinco (y más críticos) son los que permiten la ejecución remota de código arbitrario. El último permite la "divulgación de datos". El ransomware aprovecha las primeras cinco vulnerabilidades y las explota.
Las medidas que los usuarios / empresas pueden tomar para mitigar este ransomware y otros incluyen:
Enlaces web:
Cisco ha publicado un artículo sobre este que incluye más detalles que cualquiera de los demás. Has visto. Sus pasos básicos para la prevención son los siguientes:
- Asegúrese de que todos los sistemas basados en Windows estén completamente parcheados. Como mínimo, asegúrese de que se haya aplicado el boletín MS17-010 de Microsoft.
- De acuerdo con las mejores prácticas conocidas, cualquier organización que tenga SMB accesible públicamente a través de Internet (puertos 139, 445) debe bloquear inmediatamente el tráfico entrante.
Y al menos basado en ese boletín de Microsoft , parece que esta es una vulnerabilidad de SMBv1, no de SMBv2.
¿Quién está en riesgo? Cualquier persona que ejecute los sistemas operativos que se enumeran en el anuncio de parche aquí: enlace
¿Cómo? El malware se puede entregar de muchas maneras, una vez que un punto final se comprometa con el aspecto 'gusano' de este malware explota ms17-010. Por lo tanto, podría estar haciendo clic en un enlace, abriendo un archivo que se envió por correo electrónico, etc. enlace
Parece ser? ¿Estás bromeando ?-)
Mírelo como se propaga: enlace
Indicadores de compromiso: enlace
Buscar puntos finales vulnerables (nmap): enlace
También es importante saber que hay nuevas variantes de Wannacry (apodado Wannacry v2) que se cree que no son de los mismos autores.
Cómo este malware compromete los sistemas:
Primero crea y establece las siguientes entradas de registro:
WannaCry luego crea los siguientes mutex:
Después de esto, termina los siguientes procesos utilizando taskkill /f /im :
WannaCry comienza a buscar, cifrar y agregar .WCRY al final de los nombres de archivo de los siguientes formatos de archivo:
.123
.3dm
.3ds
.3g2
.3gp
.602
.7z
.ARC
.PAQ
.accdb
.aes
.ai
.asc
.asf
.asm
.asp
.avi
.backup
.bak
.bat
.bmp
.brd
.bz2
.cgm
.class
.cmd
.cpp
.crt
.cs
.csr
.csv
.db
.dbf
.dch
.der
.dif
.dip
.djvu
.doc
.docb
.docm
.docx
.dot
.dotm
.dotx
.dwg
.edb
.eml
.fla
.flv
.frm
.gif
.gpg
.gz
.hwp
.ibd
.iso
.jar
.java
.jpeg
.jpg
.js
.jsp
.key
.lay
.lay6
.ldf
.m3u
.m4u
.max
.mdb
.mdf
.mid
.mkv
.mml
.mov
.mp3
.mp4
.mpeg
.mpg
.msg
.myd
.myi
.nef
.odb
.odg
.odp
.ods
.odt
.onetoc2
.ost
.otg
.otp
.ots
.ott
.p12
.pas
.pem
.pfx
.php
.pl
.png
.pot
.potm
.potx
.ppam
.pps
.ppsm
.ppsx
.ppt
.pptm
.pptx
.ps1
.psd
.pst
.rar
.raw
.rb
.rtf
.sch
.sh
.sldm
.sldx
.slk
.sln
.snt
.sql
.sqlite3
.sqlitedb
.stc
.std
.sti
.stw
.suo
.svg
.swf
.sxc
.sxd
.sxi
.sxm
.sxw
.tar
.tbk
.tgz
.tif
.tiff
.txt
.uop
.uot
.vb
.vbs
.vcd
.vdi
.vmdk
.vmx
.vob
.vsd
.vsdx
.wav
.wb2
.wk1
.wks
.wma
.wmv
.xlc
.xlm
.xls
.xlsb
.xlsm
.xlsx
.xlt
.xltm
.xltx
.xlw
.zip
Para prevención, Nik le dio todo lo que necesita saber, pero agregaré que debe intentar bloquear las conexiones entrantes en el puerto 445 / TCP. Asegúrate de no bloquear el siguiente dominio de sumidero, ya que este es el interruptor kill que se encuentra en el binario de Wannacry v1:
hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
Espero que ayude.
Hay muchas respuestas excelentes aquí, pero esta respuesta es esclarecedora dados los eventos recientes. El 18 de enero de 2017 Certificados de EE. UU. Instaron a los administradores a cerrar cortafuegos SMBv1 pero los comentarios sobre esta historia dicen que la única razón por la que todavía existe el soporte de Windows XP es porque el NHS (el Servicio Nacional de Salud del Reino Unido que se cerró el viernes 12 de mayo) paga M $ toneladas de efectivo para mantenerlo con vida.
Si tiene una computadora portátil con respaldo de Windows Vista más antigua como yo, es posible que esté interesado en KB4012598 para Windows 8, XP, Vista, Server 2008 y Server 2003 que son equivalentes a los muy comentados de MS17-010 . Estos son parches manuales para las versiones de Windows de EOL (Fin de vida útil) fuera de soporte y actualizaciones automáticas. Microsoft dio el extraordinario paso de lanzar estos parches en las últimas 48 horas.
Si hay usuarios de Linux que leen esta respuesta, me gustaría señalar las vulnerabilidades analizadas en Pregunte a Ubuntu en este Question que publiqué.
Este article discute el bloqueo de puertos específicos y la desactivación de SMBv1 y SMBv2 en favor de SMBv3. La parte del artículo dice que el FBI dice que no debería pagar a los delincuentes para que le devuelvan sus datos, pero con toda honestidad, pagaría 300 dólares para recuperar mi vida.
Los Shadow Brokers han ganado 31 de los grandes hasta el momento según un artículo de hoy. Un hecho interesante es que el nombre apareció por primera vez (AFAIK) como un grupo ficticio que maneja y trata secretos en un videojuego de ciencia ficción inventado en Edmonton hace unos 10 años. El segundo hecho interesante es que cobran $ 300 para desbloquear sus datos rescatados y yo solía cobrar $ 300 para las reparaciones de datos de GL, AR, IC, PR, etc. Eso dijo que dudo mucho que los Shadow Brokers tengan su sede en Edmonton, donde vivo. p>
Se ha informado que la creación del sitio web enlace que funciona como un interruptor de activación para el ransomware ha sido modificado por una nueva versión de "Wanna Cry". No he leído muchos artículos que confirmen esto pero, en cualquier caso, los orificios SMBv1 y SMBv2 deben estar tapados. La gente no debería confiar en que el interruptor de interrupción funcione con futuras versiones de "Wanna Cry" o cualquier nuevo malware / ransomware que utilice el agujero de bucle.
Si se pregunta qué dice benignamente el sitio web de kill-switch, es:
sinkhole.tech - donde los robots hacen una gran fiesta y los investigadores más difícil ...
Los que no creen en las conspiraciones pueden presionar el botón Atrás. La NSA y Microsoft sabían que esto vendría de acuerdo con este artículo que circula una petición que exige saber lo que Microsoft sabía, cuándo, dónde y cómo . Las acusaciones se basan en el momento en que los agentes Shadow Brokers, la NSA fueron pirateados y las actualizaciones de seguridad de MS.
Parece ser un ataque estándar de phishing / ransomware, pero también se está propagando como un gusano una vez que entra en una red objetivo.
Los servidores de Windows generalmente están detrás de firewalls que no pasan SMB. Una vez que la primera máquina en una red protegida está infectada, el gusano propaga el ataque utilizando el exploit SMB mencionado anteriormente.
Me gustaría obtener la confirmación del lado de phishing del ataque. Microsoft (desde hace dos días) todavía no tenía información sobre el compromiso inicial:
No hemos encontrado evidencia del vector de entrada inicial exacto utilizado por esta amenaza, pero hay dos escenarios que creemos que son altamente Posibles explicaciones para la propagación de este ransomware:
Llegada a través de correos electrónicos de ingeniería social diseñados para engañar a los usuarios ejecutar el malware y activar la funcionalidad de propagación de gusanos con el SMB explota la infección a través de SMB explota cuando una computadora no parcheada Es direccionable desde otras maquinas infectadas. ( enlace )
[Editar] Acabo de ver que Forbes no cree que el phishing sea un componente importante de este ataque. vea enlace :
"... es poco probable que los correos electrónicos de suplantación de identidad (phishing) fueran el método de infección principal, dado que pocos han compartido correos electrónicos con el malware. La división Talos de Cisco no cree que se hayan utilizado correos electrónicos de suplantación de identidad ..."
Eso dejaría a los servidores desprotegidos con puertos SMB expuestos a Internet abierta como el principal vector de infección. Eso podría explicar algunos de los objetivos de alto perfil informados que tienen redes ampliamente extendidas (FedEx, NHS, etc.). Solo se necesitaría una computadora no expuesta que también se conectara a una red más amplia para arrancar una infección.
Además de las respuestas anteriores, que solo mencionan Windows, y dado que hay una pregunta " ¿WannaCry infecta Linux? " que apunta a este, me gustaría agregar que las máquinas Linux también pueden infectarse si están ejecutando Wine: enlace
Si bien la instalación de parches para proveedores siempre es una buena idea, también vale la pena señalar que el malware lleva una comprobación de DNS en la activación. He visto un dominio reportado:
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
Pero es probable que haya tal vez más. Por lo tanto, debería ser posible monitorear su red para detectar nuevas infecciones usando algo como esto (en un cuadro de Linux / Unix) que prueba una cadena muy larga como un componente de dominio en una consulta de DNS:
tcpdump -K dst port 53 | awk '$8 ~ /[^\.]{20,}/ { print $0; }'
(no probado: YMMV)
Responderé a la parte "cómo proteger" un poco concisamente
El malware todavía se está extendiendo. Si su sistema no está protegido, su vida útil restante se contabiliza en horas
Microsoft ya ha lanzado parches para todas las versiones de Windows en mantenimiento. Quizás Windows ME no haya sido parchado, de lo contrario, vaya al # 4
Puedes defender tu infraestructura con cualquier ransomware, o al menos limitar su daño, aplicando una política de copia de seguridad válida. La copia de seguridad en una máquina vulnerable no tiene sentido en esta situación. La sincronización con la nube puede ser peligrosa
Tanto si es un usuario doméstico como una gran empresa, siempre aplicará la regla de oro del cortafuegos: deshabilite todo, excepto los servicios que realmente está ejecutando.
¿Ejecutando una aplicación web? Abrir solo los puertos 80/443. ¿Correr torrent en casa? Use upnp o elija sus puertos para abrir en su módem.
No utilice DMZ. Si realmente necesitas SMB tienes que pensarlo cuidadosamente. Discutir sobre ServerFault puede ser bueno.
Si posee un sistema heredado que es realmente crítico para el negocio y no se puede actualizar en poco tiempo, considere la posibilidad de hacerlo. La virtualización de una versión antigua de Windows es inútil porque el malware se puede propagar en su red de máquinas obsoletas. Si no puede usar el firewall y / o deshabilitar SMB por completo, la última opción es quitar el cable de red hasta que encuentre una solución mejor
Lea otras preguntas en las etiquetas malware ransomware wannacry