Ataque masivo y global de Ransomware Wanna Decrypt0r 2.0
La alerta saltaba esta mañana en España cuando la empresa Telefonica, con sede central en Madrid, era víctima de un ransomware que obligaba a sus trabajadores a apagar los ordenadores de manera urgente. Horas más tarde, El Servicio Nacional de Salud británico (NHS por sus siglas en inglés), ha confirmado el mismo ataque, y añade que afecta también a "otras organizaciones de una amplia gama de sectores" y que el virus responde al nombre de "Wanna Decryptor". España, Portugal, Reino Unido y Rusia, entre los afectados
.
El pasado viernes 14 de Abril, The Shadow Brokers publicó una gran cantidad de herramientas pertenecientes al arsenal de Equation Group s (sospechosamente vinculado a la NSA). Se puede encontrar dichas herramientas en el repositorio de Github de misterch0c. Las recientes graves vulnerabilidades en Windows bautizada como EternalBlue, una de las herramientas utilizadas por la NSA, parece que es el principal vector de ataque.
Contramedidas urgentes:
Este ransomware cifra todos los ficheros con extensiones "populares", les añade una extensión .WNCRY y además crea un fichero de texto en el disco duro de la víctima llamado @PleaseRead[email protected]
La aplicación Anti Ramson v3 es capaz de detectar y bloquear la infección
Probablemente el malware que ha infectado al “paciente 0”, para el caso de las organizaciones, ha llegado a través de un adjunto, una descarga aprovechando una vulnerabilidad de un ordenador. La versión del malware según los análisis es un WanaCryptor que es una variante de las versiones anteriores de WannaCry.
La imagen del comunicado tiene fecha del 13/03/2017
Imagen Wana Decrypt0r 2.0
También se especula con que los autores del virus están cobrando en este cuenta BitCoin los pagos:
Muestras, samples, etc
Mapas en Vivo de las infecciones
Fuentes:
https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-de-ransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html
.
- Ransomware que aprovecha reciente vulnerabilidad de Windows para propagarse en forma de gusano
El pasado viernes 14 de Abril, The Shadow Brokers publicó una gran cantidad de herramientas pertenecientes al arsenal de Equation Group s (sospechosamente vinculado a la NSA). Se puede encontrar dichas herramientas en el repositorio de Github de misterch0c. Las recientes graves vulnerabilidades en Windows bautizada como EternalBlue, una de las herramientas utilizadas por la NSA, parece que es el principal vector de ataque.
Contramedidas urgentes:
- 1. Bloqueo 138, 139 y 445 (tanto TCP como UDP)
- 2. Aplicación urgente del último nivel de parcheo (ms17-010)
- 3. Firmas AV e IDS
- 4. Protecciones genéricas contra ransomware
WanaCrypt0r 2.0 ransomware (WCry/WannaCry)
El ransomware, una versión de WannaCry, infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota a través de SMB - Server Message Block (MS17-010), se distribuye al resto de máquinas Windows que haya en esa misma red.
Este ransomware cifra todos los ficheros con extensiones "populares", les añade una extensión .WNCRY y además crea un fichero de texto en el disco duro de la víctima llamado @PleaseRead[email protected]
La aplicación Anti Ramson v3 es capaz de detectar y bloquear la infección
Probablemente el malware que ha infectado al “paciente 0”, para el caso de las organizaciones, ha llegado a través de un adjunto, una descarga aprovechando una vulnerabilidad de un ordenador. La versión del malware según los análisis es un WanaCryptor que es una variante de las versiones anteriores de WannaCry.
Microsoft publicó la vulnerabilidad el día 14 de marzo en su boletín y hace unos días se hizo pública una prueba de concepto que parece que ha sido el desencadenante de la campaña.
Se recomienda actualizar los sistemas a su última versión o parchear según informa el fabricante:
Comunicado oficial de Teléfonica:
La imagen del comunicado tiene fecha del 13/03/2017
Red de hospitales de Inglaterra afectada también por ataque informático
El problema con la red de hospitales inglesa parece ser similar al de Telefónica: los atacantes tomaron control de los equipos y están pidiendo rescate en dinero. En el caso de los hospitales, la situación es definitivamente más delicados cuando tratamientos médicos (incluso de emergencia) se ven completamente afectados, lo que podría traer nefastas consecuencias en pacientes graves.
El Servicio Nacional de Salud británico (NHS por sus siglas en inglés), ha confirmado este ataque, y añade que afecta también a "otras organizaciones de una amplia gama de sectores" y que el virus responde al nombre de "Wanna Decryptor", informa AFP.
El NHS ha confirmado que se encuentra trabajando en la resolución del problema y que ofrecerá más detalles pronto. Asimismo, a través de la página NHS Digital, ha indicado que no hay pruebas de que los atacantes hayan tenido acceso a información de los pacientes, y ha añadido que “el ataque no tenía como objetivo específico al NHS y está afectando a organizaciones de diversos sectores". Se trata, ha confirmado el NHS, de un ataque con “una variante de malware Wanna Decryptor”.
Captura de Pantalla de Wanna Drecryptor 1.0
Imagen Wana Decrypt0r 2.0
También se especula con que los autores del virus están cobrando en este cuenta BitCoin los pagos:
Muestras, samples, etc
- Free Automated Malware Analysis Service - powered by VxStream Sandbox - Viewing online file analysis results for 'wannacry.exe'
- Joe Sandbox Cloud Pro - Analysis Report 268923
Mapas en Vivo de las infecciones
Fuentes:
https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-de-ransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html
Via: blog.elhacker.net
Ataque masivo y global de Ransomware Wanna Decrypt0r 2.0
Reviewed by Zion3R
on
14:31
Rating:
Reviewed by Zion3R
on
14:31
Rating:
