Compartir


Al menos 15 países han sufrido el ataque de WannaCry, el ransomware que este viernes se hizo conocido (y famoso) por ser parte de una infección a la empresa Telefónica. Este no es un ataque dirigido ni una APT y, al momento de escribir el presente, se han registrado más de 55.000 ataques en todo el mundo.

El CNI (España) ha alertado en su web de que se ha producido “un ataque masivo de ransomware que afecta a un elevado número de organizaciones españolas”.

Como en cualquier ataque de ransomware, se han infectado sistemas de las compañías para mostrar un mensaje que pide dinero a cambio de liberarlos. El ataque “no afecta ni a la prestación de servicios, ni a la operativa de redes, ni al usuario de dichos servicios”.

El malware aprovecha la vulnerabilidad MS17-10 en Windows, parcheada en marzo pasado por Microsoft y que está relacionada al framework EternalBlue desarrollado por la CIA.

Según un mapa publicado por MalwareTech, han sido afectadas empresas de más de 15 países.

El comunicado de CNI

El ransomware, una versión de WannaCry (II), infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota a través de SMB, se distribuye al resto de máquinas Windows que haya en esa misma red. Los sistemas afectados son:

  • Microsoft Windows Vista SP2
  • Windows Server 2008 SP2 and R2 SP1
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 and R2
  • Windows 10
  • Windows Server 2016

Se recomienda actualizar los sistemas a su última versión o parchear según informa el fabricante:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Esta planilla contiene el total de las consultas por CVE según Microsoft y son los correspondientes al MS17-010:

  • CVE-2017-0143 Crítico – Windows SMB Remote Code Execution Vulnerability
  • CVE-2017-0144 Crítico – Windows SMB Remote Code Execution Vulnerability
  • CVE-2017-0145 Crítico – Windows SMB Remote Code Execution Vulnerability
  • CVE-2017-0146 Crítico – Windows SMB Remote Code Execution Vulnerability
  • (CVE-2017-0147 Importante – Windows SMB Information Disclosure Vulnerability)
  • CVE-2017-0148 Crítico – Windows SMB Remote Code Execution Vulnerability

Los críticos son los que nos importan instalar HOY.
(Parece) que el malware que se propaga es es un gusano que utiliza un exploit publicado en Exploit-DB con un payload que finalmente instala el ransomware.
 
Ya se han publicado reglas de Yara para detectar este malware y, mientras el ransom sigue recolectando dinero a través de distintas billeteras de Bitcoin.

Cristian de la Redacción de Noticias-Hacking




Source link

Dejar una respuesta