Lo que parecía un ataque dirigido de ransomware lanzado hoy a empresas transnacionales españolas como Telefonica, Iberdrola, BBVA, Vodafone entre otras, se confirma es parte de una oleada mayor de infecciones a nivel mundial afectando a organizaciones en 74 países incluyendo México.
El llamado ransomware Wanna Decryptor se esparce de manera vertiginosa a través de 74 países en más de 45,000 ataques, incluyendo Reino Unido, Estados Unidos, China, Rusia, España, Italia, Vietnam, Chile, Perú, Colombia, Ecuador, Taiwán, India, Ucrania, Argentina, México según varios informes de streaming a través del hashtag #WannaCry en twitter.
Los expertos de seguridad dicen que este ransomware aprovecha la vulnerabilidad crítica Server Message Block (SMB) la cual fue solucionada por Microsoft el pasado 14 de marzo (MS17-010). El exploit de día cero utilizado es conocido cómo ETERNALBLUE y se cree que puede ser una herramienta de la NSA (National Security Agency USA) realizada por Shadowbrokers.
Fabricantes como Trend Micro y Palo Alto Networks han liberado comunicados donde indican a sus clientes la manera de protegerse utilizando sus actuales soluciones de ciber seguridad.
DE QUE MANERA TE HACE LLORAR "WANNACRY"
El exploit EternalBlue liberado en internet a través de ShadowBrokers en Abril 14 sin embargo Microsoft habia liberado el parche en Marzo sin embargo muchas organizaciones no lo había aplicado aún.
WannaCry se inicia a través de un codigo remoto de ejecución SMBv2 en Microsoft Windows y cifra la información con una extensión de archivo ".WCRY" A continuación, libera y ejecuta una interfaz de descifrado la cual esta diseñada para para usarse en diferentes partes del mundo ya que presenta una nota de rescate en el idioma apropiado del país donde se ejecutó el ataque.
Expertos en seguridad describen el ataque de este modo: "Es un gusano sobre SMB y las comunicaciones están sobre TOR, directamente a servicios ocultos, no lo llamaríamos un gusano de peer to peer."
Los investigadores recomiendan instalar el parche de Microsoft que cierra la vulnerabilidad de SMB utilizada en el ataque de WannaCry.
En Grupo Smartekh contamos con el expertise para evaluar el nivel de riesgo en tu infraestructura con respecto a WannaCry, así como enseñarte como puedes combartirlo con tus actuales soluciones de ciberseguridad.
¿FUISTE VÍCTIMA? ¿DESEAS SABER SI TU INFRAESTRUCTURA ES VULNERABLE A WANNACRY?
DA CLICK EN LA IMAGEN Y AGENDA TU SESIÓN
Si tienes algún comentario o requerimiento adicional puedes contactarme en mi dirección de correo electrónico: mtorres@smartekh.com
*Dawn Kawamoto/DarkReading/2017
