El ataque global del ransomware y cómo proteger sus datos

Anuncio

Un ciberataque masivo ha golpeado computadoras en todo el mundo. El altamente virulento ransomware autorreplicante, conocido como WanaCryptor, Wannacry o Wcry, se ha apropiado en parte de un exploit de la Agencia de Seguridad Nacional (NSA) lanzado a la naturaleza el mes pasado Los ciberdelincuentes poseen herramientas de piratería de la CIA: lo que esto significa para ustedEl malware más peligroso de la Agencia Central de Inteligencia, capaz de piratear casi todos los dispositivos electrónicos de consumo inalámbricos, ahora podría estar en manos de ladrones y terroristas. Entonces, ¿Qué significa eso para ti? Lee mas por un grupo de pirateo conocido como The Shadow Brokers.

Se cree que el ransomware ha infectado al menos 100,000 computadoras, según los desarrolladores de antivirus, Avast. El ataque masivo se dirigió principalmente a Rusia, Ucrania y Taiwán, pero se extendió a las principales instituciones de al menos otros 99 países. Además de exigir $ 300 (alrededor de 0.17 Bitcoin al momento de escribir), la infección también es notable por su enfoque multilingüe para asegurar el rescate: el malware admite más de dos docenas idiomas

¿Que esta pasando?

WanaCryptor está causando una interrupción masiva, casi sin precedentes. El ransomware está afectando a bancos, hospitales, telecomunicaciones, empresas de servicios públicos, y otra infraestructura de misión crítica Cuando los gobiernos atacan: malware de estado-nación expuestoEn este momento se está produciendo una guerra cibernética, oculta por Internet, cuyos resultados rara vez se observan. ¿Pero quiénes son los jugadores en este teatro de guerra y cuáles son sus armas? Lee mas .

Solo en el Reino Unido, al menos 40 Fideicomisos del NHS (Servicio Nacional de Salud) declararon emergencias, lo que obligó a la cancelación de importantes cirugías, además de socavar la seguridad y la seguridad del paciente y casi con certeza llevar a fatalidades

La policía está en Southport Hospital y las ambulancias están 'respaldadas' en A&E mientras el personal hace frente a la crisis de piratería en curso #NHSpic.twitter.com/Oz25Gt09ft

- Ollie Cowan (@Ollie_Cowan) 12 de mayo de 2017

WanaCryptor surgió por primera vez en febrero de 2017. La versión inicial del ransomware cambió las extensiones de archivo afectadas a ".WNCRY" y marcó cada archivo con la cadena "WANACRY!"

WanaCryptor 2.0 se está extendiendo rápidamente entre las computadoras usando un exploit asociado con Equation Group, un hackeo colectivo estrechamente asociado con la NSA (y se rumorea fuertemente que es su piratería "sucia" interna unidad). El respetado investigador de seguridad, Kafeine, confirmó que el exploit conocido como ETERNALBLUE o MS17-010 probablemente habría aparecido en la versión actualizada.

WannaCry / WanaCrypt0r 2.0 está activando la regla ET: 2024218 "EXPLOTACIÓN ET Posible ETERNALBLUE MS17-010 Respuesta de eco" pic.twitter.com/ynahjWxTIA

- Kafeine (@kafeine) 12 de mayo de 2017

Múltiples exploits

Este brote de ransomware es diferente a lo que ya haya visto (y espero que no tenga experiencia). WanaCryptor 2.0 combina el SMB filtrado (Server Message Block, un protocolo de intercambio de archivos de red de Windows) explotar con una carga útil autorreplicante que permite que el ransomware se propague de una máquina vulnerable a la siguiente. Este gusano de rescate elimina el método habitual de entrega de ransomware de un correo electrónico infectado, un enlace u otra acción.

Adam Kujawa, investigador en Malwarebytes dicho Ars Technica "El vector de infección inicial es algo que todavía estamos tratando de descubrir... Teniendo en cuenta que este ataque parece dirigido, podría haber sido a través de una vulnerabilidad en las defensas de la red o un phishing de lanza muy bien diseñado ataque. En cualquier caso, se está propagando a través de redes infectadas utilizando la vulnerabilidad EternalBlue, infectando sistemas adicionales sin parches ”.

WanaCryptor también está aprovechando DOUBLEPULSAR, otro exploit de la NSA filtrado CIA Hacking & Vault 7: su guía para la última versión de WikiLeaksTodos están hablando de WikiLeaks, ¡otra vez! Pero la CIA no te está mirando realmente a través de tu televisor inteligente, ¿verdad? ¿Seguramente los documentos filtrados son falsos? O tal vez es más complicado que eso. Lee mas . Esta es una puerta trasera utilizada para inyectar y ejecutar código malicioso de forma remota. La infección busca hosts previamente infectados con la puerta trasera, y cuando se encuentra utiliza la funcionalidad existente para instalar WanaCryptor. En los casos en que el sistema host no tiene una puerta trasera DOUBLEPULSAR existente, el malware vuelve al exploit ETERNALBLUE SMB.

Actualización de seguridad crítica

La fuga masiva de herramientas de piratería de la NSA fue noticia en todo el mundo. Existe evidencia inmediata e inigualable de que la NSA recolecta y almacena exploits inéditos de día cero para su propio uso. Esto plantea un enorme riesgo de seguridad. 5 maneras de protegerse de un exploit de día ceroLas vulnerabilidades de día cero, las vulnerabilidades de software que son explotadas por los hackers antes de que un parche esté disponible, representan una amenaza genuina para sus datos y privacidad. Así es como puedes mantener a raya a los hackers. Lee mas , como ya hemos visto.

Afortunadamente, Microsoft parcheado la hazaña de Eternalblue en marzo antes de que el enorme tesoro de armas de Shadow Brokers llegara a los titulares. Dada la naturaleza del ataque, que sabemos que esta vulnerabilidad específica está en juego y la naturaleza rápida de la infección, parecería una gran cantidad de organizaciones no se pudo instalar la actualización crítica Cómo y por qué necesita instalar ese parche de seguridad Lee mas - Más de dos meses después de su lanzamiento.

En última instancia, las organizaciones afectadas querrán jugar el juego de la culpa. Pero, ¿dónde debe señalar el dedo? En este caso, hay suficiente culpa para compartir: la NSA para almacenar hazañas peligrosas de día cero ¿Qué es una vulnerabilidad de día cero? [MakeUseOf explica] Lee mas , los malhechores que actualizaron WanaCryptor con los exploits filtrados, las numerosas organizaciones que ignoraron una actualización de seguridad crítica y otras organizaciones que aún usan Windows XP.

Esa gente puede haber muerto porque las organizaciones encontraron que la carga de actualizar su sistema operativo primario es simplemente sorprendente.

Microsoft tiene lanzado de inmediato Una actualización de seguridad crítica para Windows Server 2003, Windows 8 y Windows XP.

Lanzamientos de Microsoft #WannaCrypt Protección para productos fuera de soporte Windows XP, Windows 8 y Windows Server 2003: https://t.co/ZgINDXAdCj

- Microsoft (@Microsoft) 13 de mayo de 2017

¿Estoy en riesgo?

WanaCryptor 2.0 se extendió como un reguero de pólvora. En cierto sentido, personas ajenas a la industria de la seguridad habían olvidado la rápida propagación de un gusano y el pánico que puede causar. En esta era hiperconectada, y combinada con crypto-ransomware, los proveedores de malware fueron un ganador aterrador.

¿Estás en riesgo? Afortunadamente, antes de que Estados Unidos despertara y comenzara el día de la informática, MalwareTechBlog encontró un interruptor oculto en el código de malware, lo que redujo la propagación de la infección.

El interruptor de interrupción involucró un nombre de dominio sin sentido muy largo, iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, al que el malware realiza una solicitud.

Por lo tanto, solo puedo agregar "accidentalmente detuvo un ciberataque internacional" a mi CV. ^^

- ScarewareTech (@MalwareTechBlog) 13 de mayo de 2017

Si la solicitud vuelve a estar activa (es decir, acepta la solicitud), el malware no infecta la máquina. Desafortunadamente, eso no ayuda a nadie que ya esté infectado. El investigador de seguridad detrás de MalwareTechBlog registró la dirección para rastrear nuevas infecciones a través de sus solicitudes, sin darse cuenta de que se trataba del interruptor de emergencia.

#Quiero llorar la carga útil de propagación contiene un dominio no registrado anteriormente, la ejecución falla ahora que el dominio se ha enredado pic.twitter.com/z2ClEnZAD2

- Darien Huss (@darienhuss) 12 de mayo de 2017

Desafortunadamente, existe la posibilidad de que existan otras variantes del ransomware, cada una con su propio interruptor de matar (o no tenerlo, según sea el caso).

La vulnerabilidad también se puede mitigar deshabilitando SMBv1. Microsoft proporciona un tutorial completo sobre cómo hacer esto para Windows y Windows Server. En Windows 10, esto puede ser rápidamente logrado presionando Tecla de Windows + Xseleccionando PowerShell (administrador)y pegando el siguiente código:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

SMB1 es un protocolo antiguo. Las versiones más recientes no son vulnerables a la variante WanaCryptor 2.0.

Además, si su sistema se ha actualizado de manera normal, está improbable sentir los efectos directos de esta infección en particular. Dicho esto, si canceló una cita del NHS, el pago bancario salió mal o un paquete vital no llegó, usted se vio afectado, independientemente.

Y para los sabios, un exploit parcheado no siempre hace el trabajo. Conficker, alguien?

¿Qué pasa después?

En el Reino Unido, WanaCryptor 2.0 se describió inicialmente como un ataque directo al NHS. Esto ha sido descontado. Pero el problema sigue siendo que cientos de miles de personas experimentaron una interrupción directa debido al malware.

El malware tiene características distintivas de un ataque con consecuencias drásticamente no deseadas. El experto en ciberseguridad, Dr. Afzal Ashraf, le dijo a la BBC que "probablemente atacaron a una pequeña empresa suponiendo que obtendrían una pequeña cantidad de dinero, pero entró en el sistema NHS y ahora ellos tener todo el poder del estado contra ellos, porque obviamente, el gobierno no puede permitirse que este tipo de cosas sucedan y sean exitoso."

No es solo el NHS, por supuesto. En España, El mundoinforman que el 85 por ciento de las computadoras en Telefónica fueron afectados por el gusano. Fedex confesó que habían sido afectados, así como Portugal Telecom y el MegaFon de Rusia. Y eso sin tener en cuenta los principales proveedores de infraestructura, también.

Se crearon dos direcciones de bitcoin (aquí y aquí) para recibir rescates ahora contienen un total combinado de 9.21 BTC (alrededor de $ 16,000 USD al momento de escribir) de 42 transacciones. Dicho esto, y corroborando la teoría de las "consecuencias no deseadas", es la falta de identificación del sistema proporcionada con los pagos de Bitcoin.

Tal vez me estoy perdiendo algo. Si tantas víctimas de Wcry tienen la misma dirección de bitcoin, ¿cómo pueden saber los desarrolladores quién pagó? Algunas cosas ...

- BleepingComputer (@BleepinComputer) 12 de mayo de 2017

Entonces, ¿qué pasa después? Comienza el proceso de limpieza y las organizaciones afectadas cuentan sus pérdidas, tanto financieras como basadas en datos. Además, las organizaciones afectadas analizarán detenidamente sus prácticas de seguridad y - I Realmente, realmente espero: actualización, dejando el anticuado y ahora peligroso sistema operativo Windows XP detrás.

Esperamos.

¿Te afectó directamente WanaCryptor 2.0? ¿Perdió datos o canceló una cita? ¿Crees que los gobiernos deberían forzar la actualización de la infraestructura de misión crítica? Háganos saber sus experiencias de WanaCryptor 2.0 a continuación y dénos una parte si lo hemos ayudado.

Crédito de imagen: todo lo que hago a través de Shutterstock.com