Detienen la propagación del ransomware Wanna Cry registrando un dominio
Un experto en seguridad se ha convertido en un "héroe accidental" tras gastar unos pocos dólares y registrar un dominio inexistente, que hace que el ransomware WannaCry deje de extenderse. Vi que el malware tenía codificadas consultas a un dominio muy largo, que no estaba registrado", asegura. Si WannaCry ve que ese dominio está activo, deja de extenderse. Aparentemente, los creadores del malware habían creado este interruptor para poder detener su avance. Cisco ha confirmado que la extensión se ha detenido por este descubrimiento.
Durante las últimas horas, un malware de secuestro denominado WannaCry afectó a muchas organizaciones de todo el mundo como Telefónica de España, FedEx de Estados Unidos o el Servicio Nacional de Salud (NHS) del Reino Unido, donde las computadoras del hospital comenzaron a mostrar un mensaje de rescate de $ 300 de bitcoin.
Ahora, un "héroe accidental" ha interrumpido la propagación global del ransomware, simplemente gastando unos pocos dólares registrando un nombre de dominio al que el malware hace una solicitud.
Este hombre, al parecer un investigador de ciberseguridad del Reino Unido @malwaretechblog, encontró que el interruptor fue codificado en el ransomware "en caso de que el creador quisiera detener su propagación. Esto se hizo a través de un nombre de dominio muy largo que el malware tuvo que conectarse (muy similar a buscar cualquier sitio web). Si la conexión es correcta, y muestra un dominio en vivo, el 'kill switch' funciona, se apaga inmediatamente y se detiene la propagación del ramsonware.
Warren Mercer (líder de seguridad técnica en Cisco), confirmó que las infecciones por WannaCry / WanaDecrpt0r han bajado debido al descubrimiento de @ MalwareTechBlog
Sin embargo, se advierte sobre un nuevo hilo que viene. "Hay una posibilidad muy probable que van a desvelar una nueva versión de la ramsonware para comenzar de nuevo. Si la gente no repara sus computadoras, volverá a ocurrir ",
Análisis de Infraestructura
Los investigadores de Cisco Umbrella observaron por primera vez las solicitudes de uno de los dominios de killswitch de WannaCry (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] Com) a partir de las 07:24 UTC, luego aumentando a un pico de poco más de 1.400 casi 10 horas más tarde.
La carga útil (Payload) de propagación WannaCry contiene un dominio previamente no registrado, la ejecución falla ahora que el dominio ha sido eliminado (skinhole)
La subrutina anterior intenta un HTTP GET a este dominio y, si falla, continúa llevando a cabo la infección. Sin embargo, si tiene éxito, la subrutina sale. El dominio está registrado en un sumidero bien conocido, lo que efectivamente hace que esta muestra termine su actividad maliciosa.
Fuentes:
http://blog.talosintelligence.com/2017/05/wannacry.html
Durante las últimas horas, un malware de secuestro denominado WannaCry afectó a muchas organizaciones de todo el mundo como Telefónica de España, FedEx de Estados Unidos o el Servicio Nacional de Salud (NHS) del Reino Unido, donde las computadoras del hospital comenzaron a mostrar un mensaje de rescate de $ 300 de bitcoin.
Ahora, un "héroe accidental" ha interrumpido la propagación global del ransomware, simplemente gastando unos pocos dólares registrando un nombre de dominio al que el malware hace una solicitud.
Este hombre, al parecer un investigador de ciberseguridad del Reino Unido @malwaretechblog, encontró que el interruptor fue codificado en el ransomware "en caso de que el creador quisiera detener su propagación. Esto se hizo a través de un nombre de dominio muy largo que el malware tuvo que conectarse (muy similar a buscar cualquier sitio web). Si la conexión es correcta, y muestra un dominio en vivo, el 'kill switch' funciona, se apaga inmediatamente y se detiene la propagación del ramsonware.
Warren Mercer (líder de seguridad técnica en Cisco), confirmó que las infecciones por WannaCry / WanaDecrpt0r han bajado debido al descubrimiento de @ MalwareTechBlog
El dominio es una dirección dot-com, formada por una larga cadena de letras y números gobbledygook, que termina en 'gwea.com'. De acuerdo con TheDailyBeast, @MalwareTechBlog vio que el dominio no estaba registrado y decidió comprarlo en NameCheap.com por sólo 10,69 dólares. Luego, lo señaló en un servidor de 'sumidero' en California, con la intención de recolectar información sobre el malware. De repente, vio miles de conexiones por segundo.Infections for WannaCry/WanaDecrpt0r are down due to @MalwareTechBlog registering initial C2 domain leading to kill-switch #AccidentalHero— Warren Mercer (@SecurityBeard) May 12, 2017
Sin embargo, se advierte sobre un nuevo hilo que viene. "Hay una posibilidad muy probable que van a desvelar una nueva versión de la ramsonware para comenzar de nuevo. Si la gente no repara sus computadoras, volverá a ocurrir ",
It's very important everyone understands that all they need to do is change some code and start again. Patch your systems now! https://t.co/L4GIPLGKEs— MalwareTech (@MalwareTechBlog) May 13, 2017
Análisis de Infraestructura
Los investigadores de Cisco Umbrella observaron por primera vez las solicitudes de uno de los dominios de killswitch de WannaCry (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] Com) a partir de las 07:24 UTC, luego aumentando a un pico de poco más de 1.400 casi 10 horas más tarde.
La carga útil (Payload) de propagación WannaCry contiene un dominio previamente no registrado, la ejecución falla ahora que el dominio ha sido eliminado (skinhole)
La subrutina anterior intenta un HTTP GET a este dominio y, si falla, continúa llevando a cabo la infección. Sin embargo, si tiene éxito, la subrutina sale. El dominio está registrado en un sumidero bien conocido, lo que efectivamente hace que esta muestra termine su actividad maliciosa.
Fuentes:
http://blog.talosintelligence.com/2017/05/wannacry.html
Via: blog.elhacker.net
Detienen la propagación del ransomware Wanna Cry registrando un dominio
Reviewed by Zion3R
on
5:24
Rating:
Reviewed by Zion3R
on
5:24
Rating:
