Ciberatac massiu per Ransomware WannaCry€¦ · La versió d’aquest ransomware es fa anomenar...
Transcript of Ciberatac massiu per Ransomware WannaCry€¦ · La versió d’aquest ransomware es fa anomenar...
-
Dilluns, 15 de maig de 2017
Ciberatac massiu per Ransomware WannaCry. Maig 2017
-
Ciberatac massiu per Ransomware
WannaCry
Sense classificar Pàgina 2 de 12
Sumari
1. RESUM EXECUTIU ................................................................................................. 3
2. CARACTERÍSTIQUES .................................................................................................. 3
2.1 Afectació ...............................................................................................................................................5
2.1.1 Sistemes afectats ............................................................................................................................5
2.1.2 Països afectats................................................................................................................................5
2.2 Vectors d’entrada ................................................................................................................................ 6
3. TENDÈNCIA DE L’ATAC............................................................................................. 7
4. CONSELLS IMPORTANTS .................................................................................... 9
5. CONSELLS GENÈRICS PER A LA PREVENCIÓ DEL RANSOMWARE ....... 10
-
Ciberatac massiu per Ransomware
WannaCry
Sense classificar Pàgina 3 de 12
1. Resum executiu
El 12 de maig de 2017 s'ha alertat d'un atac massiu mitjançant codi maliciós de tipus
ransomware de la variant WannaCry. Presumptament, el vector d’entrada és una campanya
de correu SPAM amb un arxiu adjunt que descarrega aquest malware.. Actualment, l’impacte
és altament crític afectant a 166 països.
L’afectació d’aquesta amenaça està repercutint a sistemes Windows, xifrant tots els arxius de
l’equip infectat així com els de les unitats de xarxa a què estiguin connectades, infectant a la
resta de sistemes Windows que hi hagi en aquesta mateixa xarxa (protocol SMB).
Presumptament, el codi maliciós d’aquesta amenaça prové del conjunt d’exploits filtrats sota
el nom de Vault7 provinents de la fuita d’informació de la NSA. L’amenaça es troba
categoritzada dins de la col·lecció d’exploits EternalBlue.
El ransomware és un programari maliciós que restringeix l'accés a un ordinador infectat
mentre es mostra una notificació fent peticions a la vaticina per tal de pagar una quota per
restaurar l'accés al sistema infectat.
2. Característiques La versió d’aquest ransomware es fa anomenar WannaCry.
Aquest virus va sorgir al febrer de 2017 sota el nom de WannaCryptor en forma de virus amb
l’extensió d'arxiu Wcry ransomware. Aquest codi maliciós xifra tots els arxius d’un equip de
destinació amb la intenció de demanar un rescat. Durant el xifrat, el virus que també es coneix
amb el nom de WannaCry .wcry ransomware afegeix extensions d'arxiu per als arxius
afectats.
El virus utilitza una vulnerabilitat d'execució de codi remota a través del protocol de
compartició d’arxius SMB (port 445). Això significa que, actualment, el ransomware es
propaga seguint el comportament d’un cuc a la resta de màquines Windows que es troben en
aquesta mateixa xarxa, així com a la resta d’equips connectats.
Actualment s’ha identificat que aquest ransomware s’executa com un procés en el sistema
(tasksche.exe) que es connecta amb un servidor maliciós (C&C).
-
Ciberatac massiu per Ransomware
WannaCry
Sense classificar Pàgina 4 de 12
Les IP utilitzades per a connectar-se amb el servidor maliciós són:
197.231.221.221:9001
128.31.0.39:9191
149.202.160.69:9001
46.101.166.19:9090
91.121.65.179:9091
151.80.42.103:9001
62.210.124.124:9101
Els indicadors de compromís identificats fins al moment són els següents
@[email protected] (SHA1:596799b75b5d60aa9cd45646f68e9c0bd06df252)
@[email protected] (SHA1:45356a9dd616ed7161a3b9192e2f318d0ab5ad10)
SHA1: 5ff465afaabcbf0150d1a3ab2c2e74f3a4426467 tasksche.exe
SHA2:ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
tasksche.exe
MD5: 84c82835a5d21bbcf75a61706d8ab549 tasksche.exe
A cada carpeta amb fitxers xifrats es creen els següents fitxers:
C:\Users\\AppData\Local\Temp\b.wnry
C:\Users\\AppData\Local\Temp\c.wnry
C:\Users\\AppData\Local\Temp\m.vbs
C:\Users\\AppData\Local\Temp\taskdl.exe
(sha1:47a9ad4125b6bd7c55e4e7da251e23f089407b8f)
-
Ciberatac massiu per Ransomware
WannaCry
Sense classificar Pàgina 5 de 12
C:\Users\\AppData\Local\Temp\149431494587197.bat
(sha1:5d6ada3f2ecc162ecd821faee72a719b7f194678)
Actualment es confirma que existeixen, al menys, dues variants d’aquest ransomware:
La primera d'elles, WannaCrypt.A realitza, com a primer pas abans de començar a xifrar els
documents de l'equip, un intent de connexió a una pàgina web codificada internament. Si
aconsegueix realitzar la connexió amb èxit, no xifra cap document. Si, per contra, no
aconsegueix realitzar la connexió a la pàgina web, comença el xifrat dels documents i sol·licita
el pagament del rescat dels documents xifrats.
La segona variant, WannaCrypt.B, comença immediatament amb el xifrat dels arxius per a
posteriorment sol·licitar el pagament del rescat dels documents xifrats.
2.1 Afectació
2.1.1 Sistemes afectats
Els sistemes afectats són:
Microsoft Windows Vista SP2
Windows Server 2008 SP2 i R2 SP1
Windows 7
Windows 8.1
Windows RT 8.1
Windows Server 2012 i R2
Windows 10
Windows Server 2016
Windows Vista
Windows XP
Windows Server 2003
2.1.2 Països afectats
L’impacte actual de l’amenaça de ransomware WannaCry afecta a un total de 166 països. De
tots ells, s’ha extret un gràfic dels principals 30 països amb una major afectació. La principal
es concentra a la Xina (33.392), Rússia (12.402) i Estats Units (6.250). Espanya es troba en
el top 18, amb un total de 874. Aquesta volumetria ha sigut registrada per la pàgina web
Malware Tech de Intel.
-
Ciberatac massiu per Ransomware
WannaCry
Sense classificar Pàgina 6 de 12
Il·lustració 1. Principal afectació per paisos. TOP 30. Font: Intel MalwareTech
2.2 Vectors d’entrada
El vector d'entrada és una campanya de correu spam amb un arxiu adjunt que descarrega i
executa el malware.
Un cop l’arxiu específicament dissenyat per explotar aquesta vulnerabilitat s’executa en una
de les màquines afectades, es replica a la resta d’ordinadors a través del protocol de
compartició d’arxius SMB.
-
Ciberatac massiu per Ransomware
WannaCry
Sense classificar Pàgina 7 de 12
3. Tendència de l’atac A nivell internacional s'han detectat més de 45.000 atacs. Actualment es porten registrats 166
països afectats, segons la firma d'antivirus Kaspersky. Tot i que la propagació de la infecció
a nous sistemes informàtics i a nous països s’està contenint en aplicar els mecanismes de
prevenció publicats, el nombre d’afectats no para de créixer.
El següents gràfic mostren l’evolució de les infeccions per l’amenaça del Ransomware
WannaCry, des del seu inici fins a l’actualitat. Els resultats que es poden extreure són:
- L’inici de l’amenaça comença el 12 de maig de 2016 a les 11:00h (GMT+2)
aproximadament, registrant un dels pics més importants amb un total de 37.225
infeccions.
- El segon pic més rellevant, apareix dues hores més tard (13:00h), registrant un total
de 25.336 atacs. L’evolució de l’amenaça es manté fins a les 18:00h del 13 de maig
de 2017.
- Des de les 22:00h del 13 de maig fins les 00:00h del 15 de maig de 2017 (GMT+2) –
cap de setmana– s’experimenta una recaiguda de l’amenaça.
- La mostra de l’evolució ampliada permet veure que hi ha un restabliment dels atacs a
partir de les 02:00h de la matinada del dilluns 15 de maig de 2017, experimentant un
pic de 4.704 noves amenaces. La tendència d’infeccions mundials es mostra in
Il·lustració 2. Visió de l'evolució de l'amenaça des del seu inici fins l'actualitat. Font: Intel Malwaretech
-
Ciberatac massiu per Ransomware
WannaCry
Sense classificar Pàgina 8 de 12
crescendo coincidint amb el nou inici de la jornada laboral. A les 09:30h d’aquest matí
es mostraven un total de 5.154 infeccions.
- Les últimes dades registrades a les 12:00h constaten un lleuger descens de les
infeccions. Es registren 4435 infeccions, quasi mil menys que els registres de les
últimes dues hores anteriors.
Il·lustració 3. Visió ampliada de l'evolució de l'amenaça en les últimes hores. Font: Intel Malwaretech
-
Ciberatac massiu per Ransomware
WannaCry
Sense classificar Pàgina 9 de 12
4. Consells importants Les mesures a adoptar com a principals contencions de seguretat per ordre de prioritat són:
Instal·lar el pegat MS17-010 (referent a la vulnerabilitat SMB del 14 de Març del
2017) en els equips Windows en cas que aquest no estigui aplicat. Tots els dispositius
que no hagin estat protegits amb l’actualització dels pegats MS17-010 han de ser
desconnectats de la xarxa fins a ser protegits.
Instal·lar el pegat CVE-2017-0290 Microsoft Malware Protection Engine Type
Confusion Remote Code Execution.
En el cas que no es pugui instal.lar els pegats anteriors (Windows XP sense service-
pack 2 i 3), es recomana desactivar el servei SMB.
Monitoritzar les connexions a SMB (port 445) i també a Netbios (port 139).
Bloquejar els ports SMB (port 445) i Netbios (port 139) cap a entorns on no es pugui
garantir que s’han aplicat els pegats mencionats anteriorment.
Aplicació de firmes i mesures de monitoratge en els equips de filtratge de contingut de
navegació i en els equips d’antivirus i antispam de correu incloent:
Monitoritzar els correus rebuts amb la finalitat de detectar la rebuda de correus
maliciosos amb aquesta variant de malware.
Filtrat de IP identificades com a servidors maliciosos que comanden les
màquines infectades (Command & control).
Filtrat de fitxers amb extensions potencialment perilloses
Aplicació de firmes per el bloqueig de continguts maliciosos associats a aquest
malware.
No bloquejar les URL www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com i
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Aquesta mesura només és
efectiva per una de les variants del malware
http://www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com/http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/
-
Ciberatac massiu per Ransomware
WannaCry
Sense classificar Pàgina 10 de 12
Segmentar les xarxes i useu VLANs
Deshabilitar el protocol SMB v1.
Fer backups o copies de la informació i provar que s’han realitzat correctament.
Custodiar les còpies en espais diferents dels originals i amb sistemes de protecció
adequats.
Permetre l’accés sense proxy al domini que atura l’atac o bé configurar el DNS intern
amb un sinkhole.
5. Consells genèrics per a la prevenció del Ransomware
Per evitar ser infectat us oferim una sèrie de recomanacions senzilles:
Canvieu els paràmetres d’antispam del proveïdor de correu electrònic per tal de filtrar
tots els missatges entrants potencialment nocius. Cal elevar el nivell de protecció més
enllà del que ve per defecte, ja que és una contramesura important per evitar atacs de
phishing.
Definiu les restriccions específiques d'extensió d'arxiu en el seu sistema de correu
electrònic. Assegureu-vos que els arxius adjunts amb les següents extensions estan
en llistes negres: Js, .vbs, .docm, .hta, .exe, .cmd, .scr, i .bat. A més, tracteu els arxius
ZIP adjunts en missatges amb extrema precaució.
Canvieu el nom del procés “vssadmin.exe” de manera que el ransomware sigui
incapaç de destruir totes les còpies instantànies de volum dels arxius d'una sola
vegada.
Mantingueu el seu tallafocs actiu en tot moment, per evitar que el ransomware es
comuniqui amb el seu servidor de C&C. D'aquesta manera, l'amenaça no serà capaç
d'obtenir les claus criptogràfiques i xifrar els arxius.
Realitzar còpies de seguretat dels arxius amb regularitat, almenys els més importants.
Un atac ransomware no és un problema, sempre que es mantingui un backup del seus
-
Ciberatac massiu per Ransomware
WannaCry
Sense classificar Pàgina 11 de 12
arxius. Provar que s’han realitzat correctament i custodiar les còpies en espais
diferents dels originals i amb sistemes de protecció adequats.
Utilitzeu una suite antimalware eficaç. Hi ha eines de seguretat que identifiquen el
comportament específic d’un ransomware i bloquegen la infecció abans que pugui
causar el dany.
Configurar l’actualització del programari automàtic del programari present en el
vostres sistemes.
Implementar filtres antispam per evitar que els correus amb atacs de phishing arribin
als usuaris finals.
Identificar el correu entrant utilitzant tecnologies Sender Policy Framework (SPF),
Domain Message Authentication Reporting and Conformance (DMARC), i
DomainKeys Identified Mail (DKIM) per prevenir el spoofing de correu.
Escanejar tot el correu entrant i sortint per tal de detectar amenaces i filtrar els arxius
executables evitant que aquests no arribin als usuaris finals
Configurar els antivirus i antimalware d’usuaris finals per tal que s’actualitzin i efectuïn
escanejos regularment.
Limitar els drets d’administració dels usuaris.
Limitar els permisos sobre els arxius i carpetes en local i en la xarxa. Els usuaris que
només necessiten llegir no han de tenir permisos d’escriptura.
Utilitzar el programari Office Viewer (gratuït i de menys prestacions) per tal d’obrir
arxius Office (word, excel, powerpoint, etc...) rebuts via correu. Si s’utilitza l’aplicatiu
Office amb totes les funcions, aleshores deshabilitar la execució de les macros.
Formar, sensibilitzar i alertar als usuaris contra els atacats d’enginyeria social, trampes
o links maliciosos.
Realitzar proves d’intrusió almenys un cop al any, i tant freqüent com sigui possible,
per tal de detectar vulnerabilitats.
-
Ciberatac massiu per Ransomware
WannaCry
Sense classificar Pàgina 12 de 12
Avís Legal:
Limitació de responsabilitat
El present document es proporciona sobre la base dels millors estàndards tècnics i aportant la informació disponible més fiable, però es proporciona com està sense garanties específiques en relació al seu contingut. La Fundació CESICAT no assumirà cap responsabilitat en relació als danys i perjudicis que puguin ser causats directament, indirectament, de manera fortuïta o d’altra manera per la utilització del seu contingut i/o el programari recollit en el mateix, inclús si aquesta possibilitat és coneguda i s’ha advertit en el text.
Llicència d’ús
El contingut de la present comunicació és titularitat de la Fundació Centre de Seguretat de la Informació de
Catalunya i resta subjecta a la llicència de Creative Commons BY-NC-SA. L'autoria de la obra es reconeixerà
mitjançant la inclusió de la següent menció:
Obra titularitat de la Fundació Centre de Seguretat de la Informació de Catalunya.
Llicenciada sota la llicència CC BY-NC-SA.
La present comunicació es publica sense cap garantia específica sobre el contingut.
L'esmentada llicència té les següents particularitats:
Vostè és lliure de:
Copiar, distribuir, modificar i comunicar públicament la obra.
Sota les condicions següents:
Reconeixement — S'ha de reconèixer l'autoria de la obra de la manera especificada per l'autor o el
llicenciador (en tot cas no de manera que suggereixi que gaudeix del seu suport o que dóna suport a la
seva obra).
No comercial — No es pot emprar aquesta obra per a finalitats comercials o promocionals.
Compartir Igual - Si altereu o transformeu aquesta obra, o en genereu obres derivades, només podeu
distribuir l'obra generada amb una llicència idèntica a aquesta.
Respecte d'aquesta llicència caldrà tenir en compte el següent:
- Modificació - Qualsevol de les condicions de la present llicència podrà ser modificada si vostè disposa de
permisos del titular dels drets.
- Altres drets - En cap cas els següents drets restaran afectats per la present llicència:
o Els drets del titular sobre els logos, marques o qualsevol altre element de propietat intel·lectual o
industrial inclòs al comunicat. Es permet tan sols l'ús d'aquests elements per a exercir els drets
reconeguts a la llicència;
o Els drets morals de l'autor;
o Els drets que altres persones poden tenir sobre el contingut o respecte de com s'empra la obra, tals
com drets de publicitat o de privacitat.
- Avís - En reutilitzar o distribuir la obra, cal que s'esmentin clarament els termes de la llicència d'aquesta obra.
El text complert de la llicència pot ser consultat a https://creativecommons.org/licenses/by-nc-sa/4.0/legalcode
https://creativecommons.org/licenses/by-nc-sa/4.0/legalcode