ciberatac massiu per ransomware wannacry€¦ · la versió d’aquest ransomware es fa anomenar...

Dilluns, 15 de maig de 2017

Ciberatac massiu per Ransomware WannaCry. Maig 2017

Ciberatac massiu per Ransomware

WannaCry

Sense classificar Pàgina 2 de 12

Sumari

1. RESUM EXECUTIU ................................................................................................. 3

2. CARACTERÍSTIQUES .................................................................................................. 3

2.1 Afectació ...............................................................................................................................................5

2.1.1 Sistemes afectats ............................................................................................................................5

2.1.2 Països afectats................................................................................................................................5

2.2 Vectors d’entrada ................................................................................................................................ 6

3. TENDÈNCIA DE L’ATAC............................................................................................. 7

4. CONSELLS IMPORTANTS .................................................................................... 9

5. CONSELLS GENÈRICS PER A LA PREVENCIÓ DEL RANSOMWARE ....... 10


WannaCry


1. Resum executiu

El 12 de maig de 2017 s'ha alertat d'un atac massiu mitjançant codi maliciós de tipus

ransomware de la variant WannaCry. Presumptament, el vector d’entrada és una campanya

de correu SPAM amb un arxiu adjunt que descarrega aquest malware.. Actualment, l’impacte

és altament crític afectant a 166 països.

L’afectació d’aquesta amenaça està repercutint a sistemes Windows, xifrant tots els arxius de

l’equip infectat així com els de les unitats de xarxa a què estiguin connectades, infectant a la

resta de sistemes Windows que hi hagi en aquesta mateixa xarxa (protocol SMB).

Presumptament, el codi maliciós d’aquesta amenaça prové del conjunt d’exploits filtrats sota

el nom de Vault7 provinents de la fuita d’informació de la NSA. L’amenaça es troba

categoritzada dins de la col·lecció d’exploits EternalBlue.

El ransomware és un programari maliciós que restringeix l'accés a un ordinador infectat

mentre es mostra una notificació fent peticions a la vaticina per tal de pagar una quota per

restaurar l'accés al sistema infectat.

2. Característiques La versió d’aquest ransomware es fa anomenar WannaCry.

Aquest virus va sorgir al febrer de 2017 sota el nom de WannaCryptor en forma de virus amb

l’extensió d'arxiu Wcry ransomware. Aquest codi maliciós xifra tots els arxius d’un equip de

destinació amb la intenció de demanar un rescat. Durant el xifrat, el virus que també es coneix

amb el nom de WannaCry .wcry ransomware afegeix extensions d'arxiu per als arxius

afectats.

El virus utilitza una vulnerabilitat d'execució de codi remota a través del protocol de

compartició d’arxius SMB (port 445). Això significa que, actualment, el ransomware es

propaga seguint el comportament d’un cuc a la resta de màquines Windows que es troben en

aquesta mateixa xarxa, així com a la resta d’equips connectats.

Actualment s’ha identificat que aquest ransomware s’executa com un procés en el sistema

(tasksche.exe) que es connecta amb un servidor maliciós (C&C).


WannaCry


Les IP utilitzades per a connectar-se amb el servidor maliciós són:

197.231.221.221:9001

128.31.0.39:9191

149.202.160.69:9001

46.101.166.19:9090

91.121.65.179:9091

151.80.42.103:9001

62.210.124.124:9101

Els indicadors de compromís identificats fins al moment són els següents

@[email protected] (SHA1:596799b75b5d60aa9cd45646f68e9c0bd06df252)

@[email protected] (SHA1:45356a9dd616ed7161a3b9192e2f318d0ab5ad10)

SHA1: 5ff465afaabcbf0150d1a3ab2c2e74f3a4426467 tasksche.exe

SHA2:ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa

tasksche.exe

MD5: 84c82835a5d21bbcf75a61706d8ab549 tasksche.exe

A cada carpeta amb fitxers xifrats es creen els següents fitxers:

C:\Users\\AppData\Local\Temp\b.wnry

C:\Users\\AppData\Local\Temp\c.wnry

C:\Users\\AppData\Local\Temp\m.vbs

C:\Users\\AppData\Local\Temp\taskdl.exe

(sha1:47a9ad4125b6bd7c55e4e7da251e23f089407b8f)


WannaCry


C:\Users\\AppData\Local\Temp\149431494587197.bat

(sha1:5d6ada3f2ecc162ecd821faee72a719b7f194678)

Actualment es confirma que existeixen, al menys, dues variants d’aquest ransomware:

La primera d'elles, WannaCrypt.A realitza, com a primer pas abans de començar a xifrar els

documents de l'equip, un intent de connexió a una pàgina web codificada internament. Si

aconsegueix realitzar la connexió amb èxit, no xifra cap document. Si, per contra, no

aconsegueix realitzar la connexió a la pàgina web, comença el xifrat dels documents i sol·licita

el pagament del rescat dels documents xifrats.

La segona variant, WannaCrypt.B, comença immediatament amb el xifrat dels arxius per a

posteriorment sol·licitar el pagament del rescat dels documents xifrats.

2.1 Afectació

2.1.1 Sistemes afectats

Els sistemes afectats són:

Microsoft Windows Vista SP2

Windows Server 2008 SP2 i R2 SP1

Windows 7

Windows 8.1

Windows RT 8.1

Windows Server 2012 i R2

Windows 10

Windows Server 2016

Windows Vista

Windows XP

Windows Server 2003

2.1.2 Països afectats

L’impacte actual de l’amenaça de ransomware WannaCry afecta a un total de 166 països. De

tots ells, s’ha extret un gràfic dels principals 30 països amb una major afectació. La principal

es concentra a la Xina (33.392), Rússia (12.402) i Estats Units (6.250). Espanya es troba en

el top 18, amb un total de 874. Aquesta volumetria ha sigut registrada per la pàgina web

Malware Tech de Intel.


WannaCry


Il·lustració 1. Principal afectació per paisos. TOP 30. Font: Intel MalwareTech

2.2 Vectors d’entrada

El vector d'entrada és una campanya de correu spam amb un arxiu adjunt que descarrega i

executa el malware.

Un cop l’arxiu específicament dissenyat per explotar aquesta vulnerabilitat s’executa en una

de les màquines afectades, es replica a la resta d’ordinadors a través del protocol de

compartició d’arxius SMB.


WannaCry


3. Tendència de l’atac A nivell internacional s'han detectat més de 45.000 atacs. Actualment es porten registrats 166

països afectats, segons la firma d'antivirus Kaspersky. Tot i que la propagació de la infecció

a nous sistemes informàtics i a nous països s’està contenint en aplicar els mecanismes de

prevenció publicats, el nombre d’afectats no para de créixer.

El següents gràfic mostren l’evolució de les infeccions per l’amenaça del Ransomware

WannaCry, des del seu inici fins a l’actualitat. Els resultats que es poden extreure són:

- L’inici de l’amenaça comença el 12 de maig de 2016 a les 11:00h (GMT+2)

aproximadament, registrant un dels pics més importants amb un total de 37.225

infeccions.

- El segon pic més rellevant, apareix dues hores més tard (13:00h), registrant un total

de 25.336 atacs. L’evolució de l’amenaça es manté fins a les 18:00h del 13 de maig

de 2017.

- Des de les 22:00h del 13 de maig fins les 00:00h del 15 de maig de 2017 (GMT+2) –

cap de setmana– s’experimenta una recaiguda de l’amenaça.

- La mostra de l’evolució ampliada permet veure que hi ha un restabliment dels atacs a

partir de les 02:00h de la matinada del dilluns 15 de maig de 2017, experimentant un

pic de 4.704 noves amenaces. La tendència d’infeccions mundials es mostra in

Il·lustració 2. Visió de l'evolució de l'amenaça des del seu inici fins l'actualitat. Font: Intel Malwaretech


WannaCry


crescendo coincidint amb el nou inici de la jornada laboral. A les 09:30h d’aquest matí

es mostraven un total de 5.154 infeccions.

- Les últimes dades registrades a les 12:00h constaten un lleuger descens de les

infeccions. Es registren 4435 infeccions, quasi mil menys que els registres de les

últimes dues hores anteriors.

Il·lustració 3. Visió ampliada de l'evolució de l'amenaça en les últimes hores. Font: Intel Malwaretech


WannaCry


4. Consells importants Les mesures a adoptar com a principals contencions de seguretat per ordre de prioritat són:

Instal·lar el pegat MS17-010 (referent a la vulnerabilitat SMB del 14 de Març del

2017) en els equips Windows en cas que aquest no estigui aplicat. Tots els dispositius

que no hagin estat protegits amb l’actualització dels pegats MS17-010 han de ser

desconnectats de la xarxa fins a ser protegits.

Instal·lar el pegat CVE-2017-0290 Microsoft Malware Protection Engine Type

Confusion Remote Code Execution.

En el cas que no es pugui instal.lar els pegats anteriors (Windows XP sense service-

pack 2 i 3), es recomana desactivar el servei SMB.

Monitoritzar les connexions a SMB (port 445) i també a Netbios (port 139).

Bloquejar els ports SMB (port 445) i Netbios (port 139) cap a entorns on no es pugui

garantir que s’han aplicat els pegats mencionats anteriorment.

Aplicació de firmes i mesures de monitoratge en els equips de filtratge de contingut de

navegació i en els equips d’antivirus i antispam de correu incloent:

Monitoritzar els correus rebuts amb la finalitat de detectar la rebuda de correus

maliciosos amb aquesta variant de malware.

Filtrat de IP identificades com a servidors maliciosos que comanden les

màquines infectades (Command & control).

Filtrat de fitxers amb extensions potencialment perilloses

Aplicació de firmes per el bloqueig de continguts maliciosos associats a aquest

malware.

No bloquejar les URL www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com i

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Aquesta mesura només és

efectiva per una de les variants del malware

http://www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com/http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/


WannaCry


Segmentar les xarxes i useu VLANs

Deshabilitar el protocol SMB v1.

Fer backups o copies de la informació i provar que s’han realitzat correctament.

Custodiar les còpies en espais diferents dels originals i amb sistemes de protecció

adequats.

Permetre l’accés sense proxy al domini que atura l’atac o bé configurar el DNS intern

amb un sinkhole.

5. Consells genèrics per a la prevenció del Ransomware

Per evitar ser infectat us oferim una sèrie de recomanacions senzilles:

Canvieu els paràmetres d’antispam del proveïdor de correu electrònic per tal de filtrar

tots els missatges entrants potencialment nocius. Cal elevar el nivell de protecció més

enllà del que ve per defecte, ja que és una contramesura important per evitar atacs de

phishing.

Definiu les restriccions específiques d'extensió d'arxiu en el seu sistema de correu

electrònic. Assegureu-vos que els arxius adjunts amb les següents extensions estan

en llistes negres: Js, .vbs, .docm, .hta, .exe, .cmd, .scr, i .bat. A més, tracteu els arxius

ZIP adjunts en missatges amb extrema precaució.

Canvieu el nom del procés “vssadmin.exe” de manera que el ransomware sigui

incapaç de destruir totes les còpies instantànies de volum dels arxius d'una sola

vegada.

Mantingueu el seu tallafocs actiu en tot moment, per evitar que el ransomware es

comuniqui amb el seu servidor de C&C. D'aquesta manera, l'amenaça no serà capaç

d'obtenir les claus criptogràfiques i xifrar els arxius.

Realitzar còpies de seguretat dels arxius amb regularitat, almenys els més importants.

Un atac ransomware no és un problema, sempre que es mantingui un backup del seus


WannaCry


arxius. Provar que s’han realitzat correctament i custodiar les còpies en espais

diferents dels originals i amb sistemes de protecció adequats.

Utilitzeu una suite antimalware eficaç. Hi ha eines de seguretat que identifiquen el

comportament específic d’un ransomware i bloquegen la infecció abans que pugui

causar el dany.

Configurar l’actualització del programari automàtic del programari present en el

vostres sistemes.

Implementar filtres antispam per evitar que els correus amb atacs de phishing arribin

als usuaris finals.

Identificar el correu entrant utilitzant tecnologies Sender Policy Framework (SPF),

Domain Message Authentication Reporting and Conformance (DMARC), i

DomainKeys Identified Mail (DKIM) per prevenir el spoofing de correu.

Escanejar tot el correu entrant i sortint per tal de detectar amenaces i filtrar els arxius

executables evitant que aquests no arribin als usuaris finals

Configurar els antivirus i antimalware d’usuaris finals per tal que s’actualitzin i efectuïn

escanejos regularment.

Limitar els drets d’administració dels usuaris.

Limitar els permisos sobre els arxius i carpetes en local i en la xarxa. Els usuaris que

només necessiten llegir no han de tenir permisos d’escriptura.

Utilitzar el programari Office Viewer (gratuït i de menys prestacions) per tal d’obrir

arxius Office (word, excel, powerpoint, etc...) rebuts via correu. Si s’utilitza l’aplicatiu

Office amb totes les funcions, aleshores deshabilitar la execució de les macros.

Formar, sensibilitzar i alertar als usuaris contra els atacats d’enginyeria social, trampes

o links maliciosos.

Realitzar proves d’intrusió almenys un cop al any, i tant freqüent com sigui possible,

per tal de detectar vulnerabilitats.


WannaCry


Avís Legal:

Limitació de responsabilitat

El present document es proporciona sobre la base dels millors estàndards tècnics i aportant la informació disponible més fiable, però es proporciona com està sense garanties específiques en relació al seu contingut. La Fundació CESICAT no assumirà cap responsabilitat en relació als danys i perjudicis que puguin ser causats directament, indirectament, de manera fortuïta o d’altra manera per la utilització del seu contingut i/o el programari recollit en el mateix, inclús si aquesta possibilitat és coneguda i s’ha advertit en el text.

Llicència d’ús

El contingut de la present comunicació és titularitat de la Fundació Centre de Seguretat de la Informació de

Catalunya i resta subjecta a la llicència de Creative Commons BY-NC-SA. L'autoria de la obra es reconeixerà

mitjançant la inclusió de la següent menció:

Obra titularitat de la Fundació Centre de Seguretat de la Informació de Catalunya.

Llicenciada sota la llicència CC BY-NC-SA.

La present comunicació es publica sense cap garantia específica sobre el contingut.

L'esmentada llicència té les següents particularitats:

Vostè és lliure de:

Copiar, distribuir, modificar i comunicar públicament la obra.

Sota les condicions següents:

Reconeixement — S'ha de reconèixer l'autoria de la obra de la manera especificada per l'autor o el

llicenciador (en tot cas no de manera que suggereixi que gaudeix del seu suport o que dóna suport a la

seva obra).

No comercial — No es pot emprar aquesta obra per a finalitats comercials o promocionals.

Compartir Igual - Si altereu o transformeu aquesta obra, o en genereu obres derivades, només podeu

distribuir l'obra generada amb una llicència idèntica a aquesta.

Respecte d'aquesta llicència caldrà tenir en compte el següent:

- Modificació - Qualsevol de les condicions de la present llicència podrà ser modificada si vostè disposa de

permisos del titular dels drets.

- Altres drets - En cap cas els següents drets restaran afectats per la present llicència:

o Els drets del titular sobre els logos, marques o qualsevol altre element de propietat intel·lectual o

industrial inclòs al comunicat. Es permet tan sols l'ús d'aquests elements per a exercir els drets

reconeguts a la llicència;

o Els drets morals de l'autor;

o Els drets que altres persones poden tenir sobre el contingut o respecte de com s'empra la obra, tals

com drets de publicitat o de privacitat.

- Avís - En reutilitzar o distribuir la obra, cal que s'esmentin clarament els termes de la llicència d'aquesta obra.

El text complert de la llicència pot ser consultat a https://creativecommons.org/licenses/by-nc-sa/4.0/legalcode
https://creativecommons.org/licenses/by-nc-sa/4.0/legalcode

ciberatac massiu per ransomware wannacry€¦ · la versió d’aquest ransomware es fa anomenar...

Documents