Monográfico sobre el ransomware WannaCry
El pasado viernes 12 de mayo sufrimos el ataque de ransomware más grande de la historia “WannaCry”. El objetivo de este ataque ha sido el realizar un cifrado masivo de equipos de compañías por todo el mundo, afectando ya a más de 300.000 ordenadores en 150 países.
Las sospechas del origen del ataque han ido cambiando por momentos, comenzando en Estados Unidos, luego en Rusia y las últimas informaciones ponen a Corea del Norte en el punto de mira de las principales autoridades mundiales en Ciberseguridad.
¿Cómo funciona Wannacry?
Las diversas variantes del virus se aprovechan de una vulnerabilidad publicada en el boletín de seguridad de Microsoft Microsoft (MS17-010) en el mes de marzo y conocida como EternalBlue. (Algunos atribuyen el exploit a la National Security Agency NSA).
WannaCry, escanea tanto la red interna de una empresa como la externa, realizando conexiones en el puerto 445 (SMB) en busca de equipos no debidamente actualizados, para propagarse a ellos e infectarlos, lo que le confiere funcionalidad similar a un gusano. Este movimiento lateral dentro de la red utiliza una variante del payload DOUBLEPULSAR.
Hasta el momento no se ha encontrado ningún correo que haya podido iniciar la infección, por lo que se supone que la infección ha sido directa a algún equipo y luego se ha extendido por la red.
Características de WannaCry
A continuación, se muestran algunas propiedades estáticas de uno de los ficheros analizados relacionado con el ataque.
La firma del código dañino que lanza el ataque es la siguiente:
- MD5: DB349B97C37D22F5EA1D1841E3C89EB4
- SHA1: e889544aff85ffaf8b0d0da705105dee7c97fe26
- Tamaño: 3.723.264 bytes
Lo primero que hace el ransomware al ejecutarse (tasksche.exe) es autocopiarse dentro de una carpeta aleatoria en el directorio COMMON_APPDATA del usuario afectado y para ganar persistencia, se añade dentro del autorun de la máquina:Dentro se encuentra un fichero Zip autoextraíble protegido por contraseña “WNcry@2ol7” que incluye archivos todos ellos con la extensión .wnry
reg.exe add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v “RANDOM_CHARS” /t REG_ |
SZ /d ‘\’C:\ProgramData\FOLDER\tasksche.exe\’’ /f |
Una vez infectado el equipo, se instala como un servicio, comenzando después el proceso de encriptación de datos, secuestro y solicitud de rescate.
Vector de la infección
Hasta el momento en todos los casos analizados el código dañino se ejecuta en el equipo de forma remota por medio del exploit EternalBlue junto con una modificación de DOUBLEPULSAR para inyectar código dentro del proceso LSASS del sistema operativo.
EternalBlue aprovecha la vulnerabilidad de SMB (MS17-010) como método de distribución en la red interna, estableciendo una conexión al puerto TCP 445.
Quizá la principal razón por la que Wannacry ha sido tan exitoso es porque el exploit EternalBlue se distribuye por internet sin necesitar ninguna interacción por parte del usuario.
El pasado jueves día 11 se registró en internet un pico de tráfico sobre el puerto 445 en lo que parece ser la primera fase de distribución del virus a nivel mundial.
De hecho, uno de los métodos para evitar la propagación del virus en redes Lan es la desactivación del protocolo SMB v1 en los Pc de los usuarios. Esto es factible en equipos con Windows 8.1 y Windows 10, pero dejaría sin acceso a carpetas e impresoras a equipos con Windows XP o Windows Server 2003.
¿Qué es el Killswitch?
La parte de código que actúa como un “gusano” tiene al principio un control especial que intenta conectar con un dominio de Internet. Si esta conexión no se puede realizar, el gusano, continua con el ataque.
Debido a esto, un investigador ingles redujo con éxito la propagación del gusano al activar al adquirir por 10 Libras el dominio que buscaba WannaCry.
¿Podemos confiar en que este killswitch detenga la infección?
Pues muy poco, ya que el virus está sufriendo mutaciones.
Además, en redes Empresariales protegidas por Firewall o con sistemas Proxy para navegar por internet el virus no puede alcanzar directamente el dominio y este mecanismo falla y continua la infección.
¿Por qué los atacantes agregaron un Killswitch a Wannacry?
Este es un tema debatido, pero podría haber un par de causas probables:
- Temor a que el ataque quedara fuera de control
- Podría ser una protección contra los análisis tipo “Sandbox” de muchos fabicantes que analizan los archivos en sistemas virtuales aislados.
Creo que esta segunda opción es más plausible, dado los efectos globales que ha producido dicho virus.
Recomendaciones
Desde el departamento de Seguridad de Inycom estamos dando soporte a nuestros clientes y reforzando las medidas de protección y recuperación ante desastres, pero como medias urgentes y generales recomendamos:
- Mantener copias de seguridad de los equipos y replicarlas externamente
- Distribuir los últimos parches de seguridad a todos los equipos
- Mantener actualizados los sistemas antivirus
- Implantas software de protección por comportamiento contra Ransomware y ataque APT Y Zeroday
- Bloquear conexiones externas a puertos SMB ( 139/445)
En definitiva, reforzar las medidas de seguridad y aprovechar para actualizar y reforzar nuestro Plan de Continuidad de Negocio (BCP) de forma que estemos preparados para reaccionar de forma rápida ante este tipo de incidentes que van a ser habituales al menos a corto y medio plazo.
Consulta nuestras Soluciones y Servicios de Ciberseguridad Avanzados con los que podemos colaborar a fortalecer la seguridad y productividad de su negocio.
Protégete de la amenaza ransomware
LA IMPORTANCIA DE LA CONCIENCIACIÓN |
Social Links: