recuerda al superagente 007

Fuente: KAV

Llorando por el ataque mundial de Ransomware

Protegiéndonos contra WannaCry

Publicado: 2017-05-12


Más de 1000 equipos en el Perú están expuestos al malware WannaCry. Más información en mi otro artículo.


Actualización 12 mayo 9 PM: Según Avast ha aumentado la cantidad de países afectados a 99 y segun malwaretech más de 100 mil equipos comprometidos.

Actualización 13 mayo 2 AM: Ya se conoce el password del archivo zip, donde esta el código fuente y el binario del decryptor: WNcry@2ol7

Actualización 13 mayo 3 PM: La infección ha superado los 180 mil equipos comprometidos según MalwareTech.

Actualización 13 mayo 7 PM: La infección ha superado los 200 mil equipos comprometidos según MalwareTech.

Actualización 14 mayo 10 AM: EuroPol también confirma más de 200 mil equipos comprometidos en 150 países.

Actualización 15 mayo 10 AM: Qihoo 360 confirma la afectación de 30 mil equipos en China.

Actualización 15 mayo 11 AM: Lo que había pronosticado MalwareTech lo confirman en China, la Comisión Municipal de Economía y Tecnología de la Información de Pekín,¿ informa que WannaCry tiene una nueva mutación en la cual ya no tiene la debilidad del "switch de apagado". Pronostican ahora podrá propagarse más rápidamente.

Actualización 15 mayo 1 PM:  El Centro nipón de Coordinación del Equipo de Respuesta de Emergencia de Ordenadores confirma que 2.000 ordenadores de 600 compañías diferentes se vieron afectados por el ransomware WannaCry


Tal vez la fuente más confiable de investigación de este ataque lo brinda el CCN-CERT (Centro Criptológico Nacional de España) y como ya todos sabemos es un ransomware que no sólo cifra todo los archivos de la máquina sino también se propaga a través de la vulnerabilidad MS17-010 de Windows ya conocida, que ya había sido parchada por el fabricante en marzo de este año y era parte del grupo de Xploits de la NSA. 

Hace unas horas, Kaspesky ha lanzado un análisis de cómo se realiza la infección de esta variante de Ransomware y se visualiza que además realiza la instalación de nodos ToR que posiblemente son usados para la propagación vía Internet. Así mismo una lista de extensiones y su comportamiento.

KAV confirma la afectación de 74 países. Hay que hacer foco en las infecciones locales de su reporte que incluye países como Chile, Colombia y Perú, del sector financiero y salud.

Por si no sabes que es un Ransomware:

¡Sí puedes mitigar la amenaza!

Está demás mencionar aplicar las medidas de mitigación típicas a nivel de usuario que muestran todos los portales en Internet: 

- Mantener actualizado el antivirus

- Mantener actualizado tu sistema operativo Windows.


Vayamos a las medidas para un Administrador de Sistemas, TI o CISO 

Vía WSUS o software similar parchar lo siguiente que ya se encuentra disponible desde marzo para todos tus servidores y estaciones Windows: MS17-010

Evitar la propagación via Firewall o IPS:

Vía firmas IPS,  aquí les alcanzo las firmas basadas en Snort que son de las más utilizadas en todos los Appliance Firewall

Firmas de Cisco SourceFire, Sophos UTM y otras basadas en Snort:

41978 OS-WINDOWS Microsoft Windows SMB remote code execution attempt

41984 OS-WINDOWS Microsoft Windows SMBv1 identical MID and FID type confusion attempt

42294 OS-WINDOWS Microsoft Windows SMBv1 WriteAndX and TransSecondaryRequest TotalDataCount out of bounds write attempt

42339 OS-WINDOWS Microsoft Windows SMB possible leak of kernel heap memory

Otras ID: 41983


Firmas IPS Checkpoint:  

CPAI-2017-0205


Desactivando SMBv1:

https://support.microsoft.com/kb/2696547


Regla en el firewall para bloquear via IPs de red ToR infectadas:

- 163.172.25.118:22

- gx7ekbenv2riucmf.onion

- 57g7spgrzlojinas.onion

- Xxlvbrloxvriy2c5.onion

- 76jdd2ir2embyv47.onion

- cwwnhwhlz52maqm7.onion

- sqjolphimrr7jqw6.onion


Bloqueo de IPs  infectadas según OTX de AlienVault:

146.0.32.144

188.166.23.127

193.23.244.244

2.3.69.209

128.31.0.39

149.202.160.69

197.231.221.221

46.101.166.19

212.47.232.237

213.61.66.116

217.79.179.177

38.229.72.16

50.7.161.218

79.172.193.32

81.30.158.223

89.45.235.21


Actualización 13 mayo 7PM:

128.31.0.39

188.138.33.220

217.182.172.139

----------------------------------------------


Otras IPs adicionales:

154.35.175.225

171.25.193.78

178.162.194.210

192.99.212.139

195.154.165.112

91.219.236.222

62.138.10.60

82.94.251.227

213.239.216.222

51.255.41.65

86.59.21.38


Actualización 14 mayo 10AM:

Se ha descubierto en varios Webfilters corporativos que aparece bloqueado el dominio para apagar Wannacry. Esto es un absurdo, ya que permite mas bien evitar el ransomware. Poner en la lista blanca los dominios:

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Soluciones sofisticadas de protección

 * Ya hay en el mercado soluciones Next Generation Endpoint, no basado en firmas de virus sino en comportamiento. Entre ellas SentinelOne, Intercept X de Sophos, Traps de Palo Alto.

 * Sistemas de SandBoxing para generar simulación de entornos de explotación de ataques controlados que permitirá la detección y respuesta de tu ciclo de mitigación de riesgos. Existen actualmente licencias adicionales en los mismo Firewall UTM y NG Firewall de sanboxing en nube que te permite ahorrar costos y disponer de este tipo de tecnologías sofisticadas al alcance de la empresa que brindas soporte.

* Solución de Backup de tus equipos críticos.



Escrito por

Jaime M. Tan Nozawa

Apasionado por la informática y ciberseguridad. Doctorando D.Sc IT - Master's Degree Dirección TI (UEMC) y egresado de sistemas de la UPC


Publicado en

Ciberseguridad en el Perú

Perú país en mayor riesgo a ataques informáticos en América Latina