Ransomworm golpea a más de 150 Países

Ransomworm
Ransomworm

Los informes llegaron rápidamente el viernes por la mañana, 12 de mayo – la primera vez que leí una alerta, referenciaba a docenas de hospitales en Inglaterra que fueron afectados por ransomware (sin darse cuenta que era ransomworm), negando a los médicos el acceso a los registros médicos de sus pacientes, causando demoras en cirujías y tratamientos en curso dijo la BBC,

El malware se propagó rápidamente el viernes, con el personal médico en el Reino Unido, según se informa, las computadoras “una por una” quebadan fuera de uso.

El personal del NHS compartió capturas de pantalla del programa WannaCry, que exigió un pago de $ 300 (£ 230) en moneda virtual Bitcoin para desbloquear los archivos de cada computadora.

A lo largo del día, otros países, principalmente europeos, reportaron infecciones.

Algunos informes dijeron que Rusia había visto el mayor número de infecciones del planeta. Los bancos nacionales, los ministerios del interior y de la salud, la empresa estatal de ferrocarriles rusa y la segunda mayor red de telefonía móvil, fueron reportados como afectados.

Las infecciones se diseminaron rápidamente, según se informa golpearon hasta 150 países, con los sistemas rusos afectados aparentemente más que otros.

¿Qué está pasando?

Los detalles se conocieron rápidamente: esto era una variante relativamente desconocida del ransomware, WannaCry o WCry; WCry había sido “diseminada” por piratas informáticos que utilizaron herramientas robadas a la Agencia de Seguridad Nacional de Estados Unidos (NSA, por sus siglas en inglés) por el grupo malicioso Shadow Broker.

Las máquinas afectadas eran los equipos de escritorio, portátiles y los servidores de Windows que no estaban actualizados con el parche MS17-010 publicado por Microsoft en marzo pasado.

Lo más alarmante, es que WCry no se extendió a través de las redes de la forma habitual, a través de personas haciendo clic en los archivos adjuntos de correo electrónico.

Más bien, una vez que un sistema de Windows fue afectado en una red de Windows, Wcry logró propagarse e infectar otras máquinas sin parchear, sin ninguna interacción humana. El término industrial para este tipo de ransomware super-vigoroso:

Ransomworm

Ransomworms se extiende rápidamente Dentro de la red. Javelin se centra específicamente en el movimiento lateral malicioso en sus primeras fases y tiene la capacidad de detener cada intento de propagación, independientemente de la metodología y ayudar a la organización a recuperar automáticamente “. El mejor consejo: En primer lugar, mantenerse al día en los parches de Windows. Demasiadas organizaciones, particularmente las del sector público, o con recursos limitados de TI como los hospitales, aplazan la instalación de parches. En segundo lugar, utilice herramientas como las ofrecidas por Javelin Networks, para proteger la red contra malware y ataques conocidos y desconocidos. Si usted no está utilizando parches, y si no está usando herramientas como esta, no hay duda: Usted es vulnerable.

Algo diferente

Sabiendo esto fue un ransomworm, en lugar de un ransomware normal, me dirigí a uno de los expertos en malware que se puede propagar a través de las redes de Windows, Roi Abutbul. Un ex investigador de ciberseguridad de la famosa Unidad OFEK de la Fuerza Aérea Israelí, es fundador y CEO de Javelin Networks, una compañía de seguridad que utiliza inteligencia artificial para luchar contra el malware.

Abutbul me dijo: “El ransomware WannaCry / Wcry-la infección de ransomware más grande de la historia-es un ransomware de próxima generación. Opuesto al ransomware regular que cifra sólo la máquina local en la que se encuentra, este tipo se extiende a través de la red de la organización desde dentro, sin que los usuarios abran un correo electrónico o un archivo adjunto malicioso. Por eso lo llaman ransomworm.

Él continuó: “Este ransomworm se mueve lateralmente dentro de la red y cifra cada PC y servidor, incluyendo la copia de seguridad de la organización.”

La buena noticia es que el software de Javelin fue capaz de impedir la propagación de Wcry en las computadoras de sus clientes, justo en la puerta, explicó Abutbul.

“La solución de Javelin está diseñada específicamente para detectar automáticamente, responder y contener tal propagación en una red corporativa en tiempo real.

Este ransomworm usó específicamente la vulnerabilidad Microsoft SMB MS17-010 para propagarse internamente (la misma vulnerabilidad que la NSA utilizó durante un par de años y fue expuesta recientemente a través de la filtración de las herramientas de NSA de enero).

Es importante enfatizar que este no es un hack creado por la NSA

Más bien, es una vulnerabilidad de Windows que la NSA conocía y que fue revelada en enero de 2017. Microsoft, al igual que otros proveedores cuyas vulnerabilidades estaban en el conjunto de datos de la NSA que fueron revelados, se movió rápidamente para solucionar el defecto. El problema es que no todos los clientes instalaron el parche.

El Boletín de Seguridad de Microsoft MS17-010, publicado el 14 de marzo de 2017, describe:

Esta actualización de seguridad resuelve vulnerabilidades en Microsoft Windows.

La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un atacante envía mensajes especialmente diseñado para afectar a un servidor de Microsoft Server Message Block 1.0 (SMBv1).

El boletín continúa diciendo;

Existe una vulnerabilidad de divulgación de información en la forma en que el servidor de Microsoft Server Message Block 1.0 (SMBv1) controla determinadas solicitudes. Un atacante que explota esta vulnerabilidad con éxito puede crear un paquete especial, lo que podría conducir a la divulgación de información desde el servidor.

Para aprovechar la vulnerabilidad, en la mayoría de las situaciones, un atacante no autenticado podría enviar un paquete especialmente diseñado a un servidor SMBv1 de destino.

Los sistemas afectados de Windows incluyen todo desde Windows Vista, Windows Server 2008, Windows 7, Windows 8.x, Windows Server 2012, Windows 10 y Windows Server 2016.

Seguro por ahora, pero quizás no por mucho tiempo

La buena noticia es que Wcry se quemó rápidamente y se quemó, y dentro de un par de días, ya no era una amenaza seria, aunque escucharemos durante semanas sobre los sistemas infectados, porque algunas organizaciones tardarán en instalar los parches en la actualización de seguridad de Microsoft.

La mala noticia es que otros ransomworms como este, probablemente están ahí fuera. Roi Abutbul me advirtió: “Esta vez, los atacantes usaron una vulnerabilidad rara sin parche, pero hay muchas otras maneras de moverse lateralmente y propagarse dentro de la red”.

Javelin se centra específicamente en el movimiento lateral malicioso en sus primeras fases y tiene la capacidad de detener cada intento de propagación, independientemente de la metodología y ayudar a la organización a recuperar automáticamente “.

El mejor consejo:

En primer lugar, mantenerse al día en los parches de Windows. Demasiadas organizaciones, particularmente las del sector público, o con recursos limitados de TI como los hospitales, aplazan la instalación de parches.

En segundo lugar, utilice herramientas como las ofrecidas por Javelin Networks, para proteger la red contra malware y ataques conocidos y desconocidos. Si usted no está utilizando parches, y si no está usando herramientas como esta, no hay duda: Usted es vulnerable.

 

Por Alan Zeichick analista principal de  Camden Associates, basdo en Phoenix, Arizona. Follow him @zeichick.

Sígueme en Twitter

1 Trackback / Pingback

  1. Ransomworm golpea a más de 150 Países - Alan Zeichick

Dejar una contestacion