El ataque global de ransomware y cómo proteger sus datos

El ataque global de ransomware y cómo proteger sus datos / Seguridad

Un ataque cibernético masivo ha golpeado computadoras en todo el mundo. El altamente virulento ransomware autorreplicante, conocido como WanaCryptor, Wannacry o Wcry, se ha apropiado en parte de una explotación de la Agencia de Seguridad Nacional (NSA) lanzada al mundo salvaje el mes pasado. Herramientas: lo que esto significa para usted El malware más peligroso de la Agencia Central de Inteligencia, capaz de piratear casi todos los dispositivos electrónicos de consumo inalámbricos, podría ahora estar en manos de ladrones y terroristas. Entonces, ¿Qué significa eso para ti? Leer más por un grupo de hacking conocido como The Shadow Brokers.

Se cree que el ransomware ha infectado al menos 100,000 computadoras, según los desarrolladores de antivirus Avast. El ataque masivo se dirigió principalmente a Rusia, Ucrania y Taiwán, pero se extendió a importantes instituciones en al menos otros 99 países. Además de exigir $ 300 (alrededor de 0.17 Bitcoin en el momento de escribir este artículo), la infección también es notable por su enfoque multilingüe para asegurar el rescate: el malware es compatible con más de dos docenas de idiomas..

Que esta pasando?

WanaCryptor está causando una interrupción masiva, casi sin precedentes. El ransomware está afectando a bancos, hospitales, telecomunicaciones, servicios públicos de energía y otra infraestructura de misión crítica. Cuando los gobiernos atacan: se expone el malware de estado-nación. Cuando los gobiernos atacan: el malware de nación-estado se expone. Hay una guerra cibernética en este momento, oculta por internet. sus resultados raramente observados. ¿Pero quiénes son los jugadores en este teatro de guerra y cuáles son sus armas? Lee mas .

Solo en el Reino Unido, al menos 40 fideicomisos del Servicio Nacional de Salud (National Health Service, por sus siglas en inglés) declararon emergencias, lo que obligó a cancelar cirugías importantes, además de socavar la seguridad del paciente y casi con seguridad a muertes.

La policía está en el Southport Hospital y las ambulancias están 'respaldadas' en A&E cuando el personal enfrenta la actual crisis de piratería #NHS pic.twitter.com/Oz25Gt09ft

- Ollie Cowan (@Ollie_Cowan) 12 de mayo de 2017

WanaCryptor apareció por primera vez en febrero de 2017. La versión inicial del ransomware cambió las extensiones de archivo afectadas a “.WNCRY” así como marcar cada archivo con la cadena “Querer!”

WanaCryptor 2.0 se está propagando rápidamente entre las computadoras que utilizan un exploit asociado con el Grupo de Ecuación, un colectivo de hacking estrechamente asociado con la NSA (y se rumorea que es su propia empresa). “sucio” unidad de hacking). El respetado investigador de seguridad, Kafeine, confirmó que la vulnerabilidad conocida como ETERNALBLUE o MS17-010 probablemente se haya incluido en la versión actualizada.

WannaCry / WanaCrypt0r 2.0 de hecho está activando la regla ET: 2024218 "EXPLOTAR ET Posible ETERNALBLUE MS17-010 Respuesta de eco" pic.twitter.com/ynahjWxTITI

- Kafeine (@kafeine) 12 de mayo de 2017

Explotaciones Múltiples

Este brote de ransomware es diferente de lo que ya ha visto (y espero que no haya experimentado). WanaCryptor 2.0 combina el exploit SMB filtrado (Server Message Block, un protocolo de intercambio de archivos de red de Windows) con una carga útil autorreplicativa que permite que el ransomware se propague de una máquina vulnerable a la siguiente. Este gusano de rescate elimina el método habitual de entrega de ransomware de un correo electrónico, enlace u otra acción infectada..

Adam Kujawa, un investigador de Malwarebytes, le dijo a Ars Technica “El vector de infección inicial es algo que todavía estamos tratando de descubrir ... Teniendo en cuenta que este ataque parece estar dirigido, podría haber sido a través de una vulnerabilidad en las defensas de la red o un ataque de phishing muy bien diseñado. En cualquier caso, se está propagando a través de redes infectadas utilizando la vulnerabilidad EternalBlue, infectando sistemas adicionales sin parches..”

WanaCryptor también está aprovechando DOUBLEPULSAR, otra explotación NSA filtrada CIA Hacking & Vault 7: Su guía a la última versión de WikiLeaks CIA Hacking & Vault 7: Su guía a la última versión de WikiLeaks ¡Todo el mundo está hablando de WikiLeaks - otra vez! Pero la CIA no te está mirando a través de tu televisión inteligente, ¿verdad? Seguramente los documentos filtrados son falsos? O quizás es más complicado que eso. Lee mas . Esta es una puerta trasera utilizada para inyectar y ejecutar código malicioso de forma remota. La infección explora los hosts previamente infectados con la puerta trasera, y cuando se encuentra utiliza la funcionalidad existente para instalar WanaCryptor. En los casos en los que el sistema host no tiene una puerta trasera DOUBLEPULSAR existente, el malware vuelve a la vulnerabilidad ETERNALBLUE SMB..

Actualización de seguridad crítica

La filtración masiva de herramientas de piratería de la NSA fue noticia en todo el mundo. Existe evidencia inmediata e incomparable de que la NSA recopila y almacena ataques de día cero no publicados para su propio uso. Esto supone un enorme riesgo para la seguridad. 5 maneras de protegerse de una explotación de día cero 5 formas de protegerse de una explotación de día cero Explotaciones de día cero, vulnerabilidades de software que son explotadas por piratas informáticos antes de que un parche esté disponible, representan un auténtico Amenaza a tus datos y privacidad. Aquí es cómo puedes mantener a los hackers a raya. Leer más, como hemos visto ahora..

Por fortuna, Microsoft parchó el ataque de Eternalblue en marzo antes de que los explotadores de armas de Shadow Brokers alcanzaran los titulares. Dada la naturaleza del ataque, sabemos que esta vulnerabilidad específica está en juego, y la naturaleza rápida de la infección, parece que una gran cantidad de organizaciones no han podido instalar la actualización crítica. ¿Cómo y por qué necesita instalar esa revisión de seguridad? Y por qué necesita instalar ese parche de seguridad Leer más: más de dos meses después de su lanzamiento.

En última instancia, las organizaciones afectadas querrán jugar el juego de la culpa. Pero ¿dónde debe apuntar el dedo? En este caso, hay suficiente culpa para compartir: la NSA por acumular peligrosas hazañas de día cero ¿Qué es una vulnerabilidad de día cero? [MakeUseOf explica] ¿Qué es una vulnerabilidad de día cero? [MakeUseOf Explica] Lea más, los malhechores que actualizaron WanaCryptor con las vulnerabilidades filtradas, las numerosas organizaciones que ignoraron una actualización de seguridad crítica y otras organizaciones que aún usan Windows XP..

Que las personas hayan muerto porque las organizaciones encontraron que la carga de actualizar su sistema operativo principal es simplemente sorprendente.

Microsoft ha lanzado de inmediato una actualización de seguridad crítica para Windows Server 2003, Windows 8 y Windows XP.

Microsoft lanza la protección #WannaCrypt para productos fuera de soporte Windows XP, Windows 8 y Windows Server 2003: https://t.co/ZgINDXAdCj

- Microsoft (@Microsoft) 13 de mayo de 2017

Estoy en riesgo?

WanaCryptor 2.0 se extendió como un incendio forestal. En cierto sentido, las personas fuera de la industria de la seguridad habían olvidado la rápida propagación de un gusano, y el pánico que puede causar. En esta era hiperconectada, y combinada con el crypto-ransomware, los proveedores de malware se encontraban en un ganador aterrador.

¿Estás en riesgo? Afortunadamente, antes de que Estados Unidos se despertara y continuara con su día de computación, MalwareTechBlog encontró un interruptor de muerte oculto en el código de malware, lo que restringió la propagación de la infección..

El interruptor de interrupción involucró un nombre de dominio sin sentido muy largo, iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, que el malware realiza una solicitud para.

Por lo tanto, solo puedo agregar "Reanudar accidentalmente un ciberataque internacional". ^^

- ScarewareTech (@MalwareTechBlog) 13 de mayo de 2017

Si la solicitud vuelve en vivo (es decir, acepta la solicitud), el malware no infecta la máquina. Desafortunadamente, eso no ayuda a nadie ya infectado. El investigador de seguridad detrás de MalwareTechBlog registró la dirección para rastrear nuevas infecciones a través de sus solicitudes, sin darse cuenta de que era el interruptor de emergencia..

La carga útil de propagación de #WannaCry contiene un dominio no registrado previamente, la ejecución falla ahora que el dominio ha sido bloqueado pic.twitter.com/z2ClEnZAD2

- Darien Huss (@darienhuss) 12 de mayo de 2017

Desafortunadamente, existe la posibilidad de que existan otras variantes del ransomware, cada una con su propio interruptor de desactivación (o no, en absoluto, según sea el caso).

La vulnerabilidad también se puede mitigar desactivando SMBv1. Microsoft proporciona un tutorial completo sobre cómo hacer esto para Windows y Windows Server. En Windows 10, esto se puede lograr rápidamente presionando Tecla de Windows + X, seleccionando PowerShell (Admin), y pegando el siguiente código:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

SMB1 es un protocolo antiguo. Las versiones más recientes no son vulnerables a la variante WanaCryptor 2.0.

Además, si su sistema se ha actualizado normalmente, está improbable Sentir los efectos directos de esta infección particular. Dicho esto, si se canceló una cita de NHS, el pago bancario salió mal o no llegó un paquete vital, se vio afectado, independientemente.

Y la palabra a los sabios, un exploit parcheado no siempre hace el trabajo. Conficker, cualquiera?

Lo que pasa después?

En el Reino Unido, WanaCryptor 2.0 se describió inicialmente como un ataque directo al NHS. Esto ha sido descontado. Pero el problema sigue siendo que cientos de miles de personas experimentaron interrupciones directas debido al malware.

El malware tiene el sello de un ataque con consecuencias drásticamente involuntarias. El experto en ciberseguridad, el Dr. Afzal Ashraf, dijo a la BBC que “probablemente atacaron a una pequeña empresa suponiendo que obtendrían una pequeña cantidad de dinero, pero se incorporaron al sistema del NHS y ahora tienen todo el poder del estado en su contra, porque obviamente el gobierno no puede permitirse que esto suceda. y ser exitoso.”

No es solo el NHS, por supuesto. En España, El mundo informan que el 85 por ciento de las computadoras en Telefónica se vieron afectadas por el gusano. Fedex confirmó que habían sido afectados, al igual que Portugal Telecom y MegaFon de Rusia. Y eso sin considerar a los principales proveedores de infraestructura, también..

Dos direcciones de bitcoins creadas (aquí y aquí) para recibir rescates ahora contienen un combinado de 9.21 BTC (alrededor de $ 16,000 USD en el momento de la escritura) de 42 transacciones. Dicho esto, y corroborando el “consecuencias no deseadas” La teoría es la falta de identificación del sistema provista con los pagos de Bitcoin..

Tal vez me esté perdiendo algo. Si tantas víctimas de Wcry tienen la misma dirección de bitcoin, ¿cómo pueden los desarrolladores saber quién pagó? Algunas cosas ??.

- BleepingComputer (@BleepinComputer) 12 de mayo de 2017

Entonces, ¿qué pasa después? El proceso de limpieza comienza y las organizaciones afectadas cuentan sus pérdidas, tanto financieras como basadas en datos. Además, las organizaciones afectadas analizarán detenidamente sus prácticas de seguridad y, realmente, realmente espero que se actualicen, dejando atrás el sistema operativo Windows XP, ahora anticuado y peligroso..

Esperamos.

¿Te afectó directamente WanaCryptor 2.0? ¿Ha perdido datos o ha cancelado una cita? ¿Crees que los gobiernos deberían obligar a la infraestructura de misión crítica a mejorar? Háganos saber sus experiencias con WanaCryptor 2.0 a continuación y dénos una participación si le hemos ayudado.

Crédito de la imagen: Todo lo que hago a través de Shutterstock.com

Explorar más sobre: ​​Hacking, Ransomware.