El virus es propaga seguint el comportament d’un cuc a la resta de màquines Windows en xarxa i tots els equips connectats, sense cap intervenció per part del usuari.

Ciberatac massiu

El 12 de maig de 2017 es va alertar d’un atac massiu mitjançant codi maliciós de tipus ransomware de la variant WannaCry. Presumptament, el vector d’entrada és una campanya de correu SPAM amb un arxiu adjunt que descarrega aquest malware. Actualment, l’impacte és altament crític i afecta un alt nombre de països.

L’afectació d’aquesta amenaça està repercutint a sistemes Windows, i xifra tots els arxius de l’equip infectat així com els de les unitats de xarxa a què estiguin connectades i infecta també a la resta de sistemes Windows que hi hagi en aquesta mateixa xarxa (protocol SMB).

El ransomware és un programari maliciós que restringeix l’accés a un ordinador infectat mentre es mostra una notificació fent peticions a la víctima per tal de pagar una quota per restaurar l’accés al sistema infectat.

La versió d’aquest ransomware es fa anomenar WannaCry. Aquest virus va sorgir al febrer de 2017 sota el nom de WannaCryptor en forma de virus amb l’extensió d’arxiu Wcry ransomware. Aquest codi maliciós xifra tots els arxius d’un equip de destinació amb la intenció de demanar un rescat. Durant el xifrat, el virus afegeix extensions .wcry d’arxiu per als arxius afectats.

El virus utilitza una vulnerabilitat d’execució de codi remota a través del protocol de compartició d’arxius SMB (port 445). Això significa que, actualment, el ransomware es propaga seguint el comportament d’un cuc a la resta de màquines Windows que es troben en aquesta mateixa xarxa, així com a la resta d’equips connectats, sense cap intervenció per part del usuari.

Actualment s’ha identificat que aquest ransomware s’executa com un procés en el sistema (tasksche.exe) que es connecta amb un servidor maliciós (C&C).

Els sistemes afectats són: Microsoft Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7, Windows 8.1, Windows RT 8.1, Windows Server 2012 and R2, Windows 10, Windows Server 2016, Windows Vista, Windows XP i Windows Server 2003.

Com la major part de malware d’aquestes característiques es produeixen mutacions d’aquest. Actualment es coneix ja una nova variant de Wannacry, apareguda el diumenge 14 de maig, el qual segueix el mateix model d’infecció, però que requereix d’una actualització de les contramesures a aplicar, amb el que cal evitar situacions de falsa seguretat pensant que ja no hi ha situacions de risc.

Només l’aplicació dels pegats recomanats pel fabricant Microsoft i una bona pràctica en l’ús i administració dels equips TI, com les que es descriuen en el punt següent, poden garantir una protecció adequada davant d’aquest tipus d’amenaces.

Mesures a adoptar:

Les mesures a adoptar com a principals contencions de seguretat per ordre de prioritat són:

• Instal·lar el pegat MS17-010 en els equips Windows en cas que aquest no estigui aplicat.
• Instal·lar el pegat CVE-2017-0290 Microsoft Malware Protection Engine Type Confusion Remote Code Execution.
• En el cas que no es pugui instal.lar els pegats anteriors (Windows XP sense service-pack 2 i 3), es recomana desactivar el servei SMB.
• Monitoritzar les connexions a SMB (port 445) i també a Netbios (port 139).
• Bloquejar els ports SMB (port 445) i Netbios (port 139) cap a entorns on no es pugui garantir que s’han aplicat els pegats mencionats anteriorment.
• Aplicació de firmes i mesures de monitoratge en els equips de filtratge de contingut de navegació i en els equips d’antivirus i antispam de correu incloent:
  • Monitoritzar els correus rebuts amb la finalitat de detectar la rebuda de correus maliciosos amb aquesta variant de malware.
  • Filtrat de IP identificades com a servidors maliciosos que comanden les màquines infectades (Command & control).
  • Filtrat de fitxers amb extensions potencialment perilloses
  • Aplicació de firmes per el bloqueig de continguts maliciosos associats a aquest malware.
• No bloquejar aquesta URL 

Recomanacions i aspectes a tenir en compte

Per evitar aquest problema potencial, cal sempre tenir present la necessitat de protegir les nostres xarxes i sistemes de informació, així com la de tenir protocols establerts per la contenció i gestió dels incidents de seguretat que es pogueren esdevenir.

En el context de l’actual campanya es recomana reforçar la comunicació preventiva amb els usuaris referent al bon ús i cura de les tecnologies de la informació referent a missatges i correus rebuts i navegació per la xarxa a llocs segurs.  En el cas que es produeixi una infecció és important desconnectar l’equip de la xarxa i apagar-lo.

 

 

Font:
Consorci AOC