WannaCrypt: Al menos 75 países afectados.

Al menos 75 países han sufrido el ataque de WannaCry, el ransomware que este viernes se hizo conocido (y famoso) por ser parte de una infección a la empresa Telefónica. Este no es un ataque dirigido ni una APT y, al momento de escribir el presente, se han registrado más de 55.000 ataques en todo el mundo.

En sus versiones iniciales de este ransomware los datos podían ser descifrados, sin embargo en las versiones actuales ya no es posible porque utiliza cifrado AES-128 y afecta a estas extensiones de archivo:

Una de las mejores formas de confirmar que se trata de un ransom genérico es verificar que sólo solicita entre USD 300 y USD 600 (0,16 bitcoin a la cotización actual) de rescate a las siguientes direcciones:

  • 115p7UMMngoj1pMvkpHijcRdfJNXj6L[ELIMINADO]
  • 12t9YDPgwueZ9NyMgw519p7AA8isjr6[ELIMINADO]
  • 13AM4VW2dhxYgXeQepoHkHSQuy6NgaE[ELIMINADO]
  • 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8s[ELIMINADO]

El CNI (España) ha alertado en su web que se ha producido “un ataque masivo de ransomware que afecta a un elevado número de organizaciones españolas”.
A modo de recordatorio: este exploit, que ocasionó tanto problemas en todo el mundo, fue originalmente desarrollado por la NSA.
Como en cualquier ataque de ransomware, se han infectado sistemas de las compañías para mostrar un mensaje que pide dinero a cambio de liberarlos. El ataque “no afecta ni a la prestación de servicios, ni a la operativa de redes, ni al usuario de dichos servicios”.

La nota de rescate puede ser mostrada en los siguientes idiomas: Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese

Durante su funcionamiento se intenta conectar con los siguiente C&C Hidden Service:

  • gx7ekbenv2riucmf[dot]onion
  • 57g7spgrzlojinas[dot]onion
  • Xxlvbrloxvriy2c5[dot]onion
  • 76jdd2ir2embyv47[dot]onion
  • cwwnhwhlz52maqm7[dot]onion
  • sqjolphimrr7jqw6[dot]onion

El malware aprovecha la vulnerabilidad MS17-10 en Windows, parcheada en marzo pasado por Microsoft y que está relacionada al framework EternalBlue desarrollado por la NSA y publicado por el grupo Shadow Brokers a mediados de abril.

Según un mapa publicado por MalwareTech, han sido afectadas empresas de más de 15 países.

El comunicado de CNI

El ransomware, una versión de WannaCry (II), infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota a través de SMB, se distribuye al resto de máquinas Windows que haya en esa misma red. Los sistemas afectados son:

  • Microsoft Windows Vista SP2
  • Windows Server 2008 SP2 and R2 SP1
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 and R2
  • Windows 10
  • Windows Server 2016

Se recomienda actualizar los sistemas a su última versión o parchear según informa Microsoft en su actualización MS17-010. Esta planilla contiene el total de las consultas por CVE según Microsoft y son los correspondientes al MS17-010:

  • CVE-2017-0143 Crítico – Windows SMB Remote Code Execution Vulnerability
  • CVE-2017-0144 Crítico – Windows SMB Remote Code Execution Vulnerability
  • CVE-2017-0145 Crítico – Windows SMB Remote Code Execution Vulnerability
  • CVE-2017-0146 Crítico – Windows SMB Remote Code Execution Vulnerability
  • (CVE-2017-0147 Importante – Windows SMB Information Disclosure Vulnerability)
  • CVE-2017-0148 Crítico – Windows SMB Remote Code Execution Vulnerability
Los parches críticos deben ser instalados a la brevedad.

(Parece) que el malware que se propaga es un gusano que utiliza un exploit publicado en Exploit-DB con un payload que finalmente instala el ransomware.

Ya se han publicado reglas de Yara para detectar este malware y también de Snort. Mientras tanto, el ransom sigue recolectando dinero a través de distintas billeteras de Bitcoin.

Inicialmente WannaCry era detectado por muy pocos antivirus y “sólo” cifra archivos, no tiene como objetivo robar datos. Hasta el momento sólo se ha confirmado que el vector de infección fue a través de ETERNALBLUE y se están investigando otros posibles vectores.

El ataque ha sido confirmado por diferentes organizaciones y la BBC confirmó que el servicio de salud inglés (NHS), El Ministerio de Interior Ruso, Telecom Portugal y Universidades Chinas también fueron afectadas, sumando hasta 75 países y 55.000 equipos al momento de escribir esto.

Durante el día la infección ha sido prácticamente detenida, luego de que un investigador encontrara en el código fuente del malware un dominio (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com) que, al ser dado de alta, detenía la expansión del malware. Al parecer los delincuentes habían dejado ese código como algún tipo de “interruptor”. Este killswitch fue encontrado por Darien Huss, investigador de la empresa Proofpoint. El malware intenta conectarse al dominio y cuando no puede hacerlo, simplemente no continúa la infección.

Ante la duda de una infección conviene buscar las siguientes rutas de registros y archivos:

C:\Users\ADMINI~1\AppData\Local\Temp\@WanaDecryptor@.exe.lnk
C:\Users\ADMINI~1\AppData\Local\Temp\@WanaDecryptor@.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "\tasksche.exe"
HKLM\SOFTWARE\WanaCrypt0r\wd = ""
HKCU\Control Panel\Desktop\Wallpaper: "\@WanaDecryptor@.bmp"

Kaspersky ha publicado un mini-análisis del malware.

Un video demostración de como funciona el malware.

Actualización 13/05

Microsoft publicó actualizaciones para los sistemas discontinuados como Windows XP y Windows Server 2003.

Solución “casera” si no deseas actualizar

Debido a que el gusano explota una vulnerabilidad en Samba SMB v1.0/CIFS, si no deseas (o no puedes) instalar el parche MS17-010, puedes desactivar este protocolo de la siguiente manera: Panel de control – Activar o desactivar caracteristicas de Windows – Desactivar “Compatibilidad con el protocolo para compartir archivos SMB 1.0/CIFS”

Varios investigadores confirman que la nueva versión de WannaCry ya no tiene el dominio que se utilizó como killswitch.
Después de 24 hs del ataque inicial, los delincuentes sólo se hicieron con BTC 15.44 = U$S24.800.

Fuente:  Segu-Info