Incidente Ransomware (WannaCry y Variantes)
por Angel Dituro, Consultor en Seguridad
A principios de Mayo se dio, y aún se está dando, un incidente a escala global relacionado con un malware particular que explota una vulnerabilidad en el protocolo SMBv1 de MS.
El exploit que utiliza Wcry es de la NSA , el cual fue filtrado por el grupo Shadow Brokers.
Este ransomware es auto replicante, se propaga a sí mismo, y soporta más de 12 idiomas.-
Actualmente han sido afectados Gobiernos, TelCos, Instituciones de salud y compañías multinacionales de primera línea.-
WCry cifra los archivos del equipo y pide un rescate de unos 300 U$D en bitcoins para poder recuperar la información. Hasta ahora no se puede confirmar la recuperación de archivos pagando lo solicitado.-
Los productos de Windows afectados son los siguientes:
- Windows Vista
- Windows Server 2008
- Windows 7
- Windows Server 2008 R2
- Windows 8.1
- Windows Server 2012 and Windows Server 2012 R2
- Windows RT 8.1
- Windows 10
- Windows Server 2016
- Windows Server Core installation option
Microsoft ya ha largado una serie de parches que mitigan dicha vulnerabilidad, en el Bulletin MS17-010.
Los productos de Fortinet ya detectan y bloquean dicha vulnerabilidad. Se encuentra disponible la signature de IPS y las firmas de Antivirus para detectarlos.-
Se recomienda lo siguiente:
- Aplicar los parches de seguridad a todos los nodos de la red (Servers, Endpoints, etc).
- Asegurarse que las funciones de IPS y AV estén activadas en las políticas necesarias, así como el Web Filtering. Esto permite bloquear el callback del Command & Control.
- Aislar las comunicaciones hacia los puertos UDP 137 y 138, así como los TCP 139 y 445
Medidas Preventivas:
- Establecer rutinas para mantener actualizados y patcheados OS y Firmwares de todos los dispositivos.
- Mantener actualizados los servicios de FortiGuard.
- Realizar backup de forma periódica, y realizar el procedimiento de restore para asegurar el correcto funcionamiento.
- Escanear el ingreso y egreso de e-mails.
- Deshabilitar la opción de ejecución de macros tanto en MS-Wndows como en Acrobat Reader.
- Establecer un plan de continuidad de negocio y una estrategia de respuesta ante incidente.
En caso de que haya sido infectado, intentar realizar lo siguiente:
- Aislar el dispositivo desconectándolo inmediatamente de la red.
- Apagar los equipos que no hayan sido completamente corruptos.
- Asegurarse que los back-ups que han sido guardados offline se encuentren sin infección.-