WannaCry Ransomware: estado de situación

Ransonmware Masivo
Ransonmware Masivo

Como es de público conocimiento el día viernes 12 de mayo se difundió un ataque de Ransomware masivo, con un alto impacto a nivel global.

Actualmente, de acuerdo a las autoridades europeas, se han reportado ataques en más de 150 países que afectaron a más 10.000 organizaciones y 200.000 usuarios finales. Asimismo, la recaudación reclamada para el recupero de la información encriptada ha superado la suma de USD 60.000.

El ataque tiene por objetivo cifrar el contenido de los equipos afectados y solicitar el pago de una suma en Bitcoins para su descifrado. Particularmente, para este ataque, se maneja la hipótesis de que el vector inicial fue una campaña masiva de mails engañosos (Phishing), conteniendo archivos adjuntos con el código malicioso.

WannaCry como Vector

El vector de ataque (que ya cuenta con 3 versiones en operaciones) ha tenido éxito a partir de equipos expuestos a Internet y que permiten el acceso al servicio SMB de Microsoft Windows. Dicho servicio, en su versión 1, posee una vulnerabilidad crítica detallada por el proveedor en su boletín de seguridad MS17-010 del 14 de Marzo, y para la cual ya existen exploits que fueron revelados por el grupo Shadowbrokers el 14 de abril. Por medio de dicha vulnerabilidad, es posible ejecutar código en forma remota y, una vez infectado el equipo, el mismo realiza una búsqueda de otros equipos conectados a la misma red, y que posean dicha vulnerabilidad para continuar propagándose. Adicionalmente busca rangos de direcciones IP aleatorios, lo que le permite infectar mayor cantidad de equipos y no solo aquellos que se encuentren en la red local donde se encuentra el dispositivo infectado.

A pesar de las contramedidas tomadas por los responsables de tecnología y seguridad a nivel global, se ha visto un constante incremento durante el fin de semana debido a que han surgido nuevas variantes del ataque que evitan dichas contramedidas.

Resulta importante señalar que existen reportes informando que la aplicación del parche oficial provisto por Microsoft, no asegura que la infección no pueda ocurrir. Un ejemplo de ello se ha informado para la versión Windows 2008 R1. La gravedad de la vulnerabilidad explotada ha tomado tal envergadura, que Microsoft ha optado por proveer parches para versiones no soportadas de su sistema operativo Microsoft Windows, entre ellas XP y 2003.

¿Qué hacer?

Desde el eXtreme Cloud CyberSecurity Lab de BTR Consulting, nuestros profesionales extienden las siguientes recomendaciones:

Sígueme en Twitter

Sé el primero en comentar

Dejar una contestacion