Ransomware WannaCry

Ransomware WannaCry

Incidente Ransomware (WannaCry y Variantes)

por Angel Dituro, Consultor en Seguridad

A principios de Mayo se dio, y aún se está dando, un incidente a escala global relacionado con un malware particular que explota una vulnerabilidad en el protocolo SMBv1 de MS.
El exploit que utiliza Wcry es de la NSA , el cual fue filtrado por el grupo Shadow Brokers.
Este ransomware es auto replicante, se propaga a sí mismo, y soporta más de 12 idiomas.-
Actualmente han sido afectados Gobiernos, TelCos, Instituciones de salud y compañías multinacionales de primera línea.-
WCry cifra los archivos del equipo y pide un rescate de unos 300 U$D en bitcoins para poder recuperar la información. Hasta ahora no se puede confirmar la recuperación de archivos pagando lo solicitado.-

Los productos de Windows afectados son los siguientes:

  • Windows Vista
  • Windows Server 2008
  • Windows 7
  • Windows Server 2008 R2
  • Windows 8.1
  • Windows Server 2012 and Windows Server 2012 R2
  • Windows RT 8.1
  • Windows 10
  • Windows Server 2016
  • Windows Server Core installation option

Microsoft ya ha largado una serie de parches que mitigan dicha vulnerabilidad, en el Bulletin MS17-010.
Los productos de Fortinet ya detectan y bloquean dicha vulnerabilidad. Se encuentra disponible la signature de IPS y las firmas de Antivirus para detectarlos.-
Se recomienda lo siguiente:

  • Aplicar los parches de seguridad a todos los nodos de la red (Servers, Endpoints, etc).
  • Asegurarse que las funciones de IPS y AV estén activadas en las políticas necesarias, así como el Web Filtering. Esto permite bloquear el callback del Command & Control.
  • Aislar las comunicaciones hacia los puertos UDP 137 y 138, así como los TCP 139 y 445

Medidas Preventivas:

  • Establecer rutinas para mantener actualizados y patcheados OS y Firmwares de todos los dispositivos.
  • Mantener actualizados los servicios de FortiGuard.
  • Realizar backup de forma periódica, y realizar el procedimiento de restore para asegurar el correcto funcionamiento.
  • Escanear el ingreso y egreso de e-mails.
  • Deshabilitar la opción de ejecución de macros tanto en MS-Wndows como en Acrobat Reader.
  • Establecer un plan de continuidad de negocio y una estrategia de respuesta ante incidente.

En caso de que haya sido infectado, intentar realizar lo siguiente:

  • Aislar el dispositivo desconectándolo inmediatamente de la red.
  • Apagar los equipos que no hayan sido completamente corruptos.
  • Asegurarse que los back-ups que han sido guardados offline se encuentren sin infección.-