Ransomware WannaCry responsable de un ciberataque mundial
Aunque WannaCry, también conocido como WanaCypt0r, Wanna Decryptor o WCry, es una amenaza ya difundida a través de los diferentes avisos y notas públicas, el resumen que hacemos desde el CERTSI es el siguiente.
La mañana del viernes 12 de mayo se inició una infección masiva de sistemas a nivel mundial por el malware de tipo ransomware WannaCry. Este malware tiene como objeto cifrar los datos para después solicitar un rescate a cambio de recuperar la información.
Ilustración 1 Imagen de petición de rescate de WannaCry
1. ¿Pero qué tiene de especial WannaCry?
El ransomware no es un tipo de malware nuevo, llevamos varios años viendo el aumento de este tipo de amenaza debido a la gran rentabilidad que consiguen los delincuentes. Entonces ¿qué tiene de especial Wannacry y como ha podido poner en jaque a multitud de empresas grandes y pequeñas a nivel mundial? WannaCry destaca respecto a otros por su capacidad de infección por red aprovechando una vulnerabilidad en el protocolo SMB, que es un protocolo de red que permite compartir entre otras cosas archivos e impresoras entre sistemas Windows. Este protocolo tiene varias vulnerabilidades críticas además de la utilizada para la propagación de WannaCry, que se solucionan en la actualización se seguridad publicada por Microsoft el 14 de marzo (MS17-010).
Todos los sistemas operativos basados en Windows están afectados por la vulnerabilidad en SMB, desde Windows XP hasta Windows 10. De forma excepcional, el 13 de mayo Microsoft desarrolló actualizaciones de seguridad para proteger aquellas plataformas que están fuera de soporte, Windows XP, Windows 8 y Windows Server 2003, y cuyo uso significa una alto riesgo.
En colaboración con las entidades afectadas, en el CERTSI hemos podido identificar hasta tres variantes del malware, incluyendo una variante que realiza un intento de conexión a una página web codificada internamente como primer paso antes de comenzar a cifrar los documentos de la víctima y que desactiva el malware si se puede realizar la conexión.
Todavía no existen evidencias suficientemente contrastadas para determinar con certeza el vector de entrada inicial. Entre las posibles opciones están la infección a través de un fichero adjunto en un correo electrónico, la descarga de un archivo de Internet o el aprovechamiento de la vulnerabilidad de red de un equipo accesible desde Internet.
Hasta la fecha se han identificado unos 360.000 equipos comprometidos en 180 países.
Ilustración 2 Numero de direcciones IP asociadas a WannaCry. Fuente: Intel.malwaretech.com
2. Impacto en España
España no es uno de los países más afectados, no habiéndose comprometido el funcionamiento de ningún servicio esencial. En estos momentos hay solo 1.000 infecciones confirmadas en España, lo que nos situaría en la posición 20 en el ranking mundial según el número de infecciones.
En relación a los operadores estratégicos nacionales, se ha confirmado la infección en menos de una decena de ellos, con los que desde el CERTSI mantenemos permanente contacto para proporcionar métodos de protección y evitar la propagación del malware.
Además, en colaboración con otras organizaciones nacionales e internacionales de ciberseguridad, desde el CERTSI hemos tenido acceso a las direcciones IP españolas infectadas con cualquiera de las variantes del malware, lo que ha permitido que se inicie la notificación de forma proactiva a los afectados, ya sea directamente o a través de los proveedores de acceso a Internet con los que tenemos establecido acuerdo.
Ilustración 3 Evolución temporal del número de direcciones IP españolas afectadas
3. Medidas de protección
Desde el CERTSI recomendamos las siguientes medidas de protección:
1. Instalar las actualizaciones lo antes posible, incluyendo las relativas a SMB, en todos los equipos de la empresa.
2. Deshabilitar el protocolo SMB1 de compartición de fichero. Si esto no fuera posible, filtrar en la medida de lo posible el tráfico SMB entre las distintas redes. Todas las versiones superiores a Windows 2003 son capaces de negociar, al menos, SMB2.
3. Aplicar reglas en los cortafuegos para limitar la comunicación entre zonas, permitiendo el uso de SMB únicamente donde sea estrictamente necesario. Se recomienda filtrar de los puertos UDP 137 y 138, y TCP 139 y 445.
4. Prestar especial atención a los equipos que se conectan a través de VPN y, por tanto, susceptibles de ser infectados desde la red origen de la conexión y transmitir la infección a la red a la que se conecta por VPN. Valorar la posibilidad de situarlos en una VLAN de tránsito que no permita el uso de SMB con otros equipos de usuarios.
5. Bloquear los ficheros con hash sha256 incluidos en la ficha de la amenaza al ser vectores de infección.
6. Bloquear el acceso a la red anónima Tor, ya que es usada para la comunicación con los servidores de comando y control.
7. Las entidades con acceso a ÍCARO pueden acceder a los IOC correspondientes a esta amenaza en nuestra plataforma de compartición de amenazas.
4. Respuesta ante la infección
En caso de verse afectado puede contactar con el CERTSI para recibir ayuda a través de los siguientes canales:
- Operadores estratégicos y de infraestructuras críticas del sector privado: a través de la dirección de correo electrónico
- Ciudadanos y empresas: a través de la OSI (www.osi.es y el teléfono 901111121) y de la dirección de correo electrónico
- Instituciones afiliadas a la red académica y de investigación española (RedIRIS): a través de la dirección de correo electrónico
Desde el CERTSI, recomendamos a las entidades afectadas realizar, antes de ponerlos nuevamente en servicio, un formateo completo de los equipos infectados (sin perjuicio de que se pueda guardar copia de los sistemas afectados).
También aconsejamos efectuar las denuncias que estimen oportunas a través de la Oficina de Coordinación Cibernética del CNPIC, mediante correo electrónico () con el fin de coordinar la gestión del caso de forma conjunta por parte de las Fuerzas y Cuerpos de Seguridad del Estado.
Desde el CERTSI continuamos trabajando en dos líneas de actuación:
- Mitigación y ayuda a la recuperación de información: análisis del malware para encontrar una solución de descifrado y documentación de la amenaza a través del informe adjunto, compartiendo la información con empresas afectadas o potencialmente vulnerables para mejorar sus medidas de prevención, detección, bloqueo y mitigación.
- Alerta temprana y prevención: envío de la última información disponible a todos los operadores estratégicos nacionales junto con métodos para protegerse y evitar la propagación del malware. Esta información también se envía a centros de respuesta ante incidentes de otros países con objeto de que desplieguen medidas preventivas.