Linuxsc.net - Se descubren nuevas variantes del ransomware WannaCrypt
BREAKING NEWS

Se descubren nuevas variantes del ransomware WannaCrypt

Los investigadores han advertido que puede haber más infecciones, ya que han aparecido nuevas variantes tras el ciberataque global del viernes.

La campaña global del ransomware WannaCrypt podría afectar a más organizaciones en una segunda hornada.

Se han descubierto nuevas variantes de WannaCrypt, aunque aún no se sabe si plantearán la misma amenaza que la primera oleada que afectó a cientos de organizaciones en todo el mundo el pasado viernes. 

Reino Unido, España, Rusia y un total de 150 países han sido víctimas de este ransomware que ha dejado al menos 200.000 afectados.

Los investigadores han advertido que puede haber más ataques, ya que han aparecido nuevas variantes que podrían complicar la lucha contra esta amenaza.

WannaCrypt infecta sistemas vulnerables a través de campañas de phishing, correos electrónicos maliciosos y archivos adjuntos con malware en la forma típica en que opera el ransomware. Una vez que este consigue llevar a cabo una infección con éxito, cifra todo lo que cae en sus manos, incluyendo discos duros y dispositivos de almacenamiento externo, antes de realizar una exploración para encontrar y saltar a nuevos sistemas que no estén protegidos contra el malware.

Según la firma de seguridad Recorded Future, WannaCry surgió por primera vez el 31 de marzo, pero la versión que ahora ha aparecido en el ataque global ha sido modificada incorporando capacidades “semejantes a gusanos”, que permiten que el malware se propague a través de sistemas conectados que no han sido parcheados a través de NetBIOS.

Este ransomware utiliza una vulnerabilidad conocida de SMB (Microsoft Windows Server Message Block), EternalBlue (MS17-010), que es un error en Windows SMBv1 y SMBv2.

 En empresas y organizaciones hay que aislar la red donde estén infectados los equipos, hacer lo mismo con los equipos infectados, desactivar el servicio SMBv1 y bloquear la comunicación de los puertos 137/UDP y 138/UDP / 139/TCP y 445/TCP en las redes de las organizaciones. A partir de ahí limpiar el malware.

Contra el ransomware, la gran “vacuna” se llama prevención y adoptar medidas previas contra la infección primaria. Te recordamos las más importantes para frenar WannaCry y el resto de Ransomware, muchos de ellos sin posible “cura” porque no hay manera de descifrar los archivos bloqueados.

  • Realizar y mantener copias de seguridad periódicas de todos los datos importantes: Es una idea en la cual hemos insistido bastante. Realizar copias de seguridad de los datos importantes es la primera y más efectiva medida para minimizar los daños en caso de ser infectado. Además se recomienda mantener las copias de seguridad aisladas y sin conexión con otros sistemas para evitar la infección de los datos a través de otros equipos.
  • Mantener el sistema actualizado con los últimos parches de seguridad, abarcando todo el software que haya instalado en el ordenador. En los boletines de seguridad de Microsoft se puede ver cómo las actualizaciones corrigen muchos problemas de seguridad.
  • Mantener una primera línea de defensa a través de algún antimalware (coloquialmente conocidos también como antivirus) y tener el firewall/cortafuegos correctamente configurado para permitir el acceso solo las aplicaciones y servicios necesarios.
  • Disponer de un filtro antispam a nivel del correo electrónico para evitar la infección a través de campañas masivas de emails. No abras nunca archivos adjuntos desconocidos. Petya es un ransomware cuyo principal canal de distribución es el correo electrónico.
  • Establecer políticas de seguridad en el sistema para impedir la ejecución de directorios comúnmente utilizados por el ransomware (App Data, Local App Data, etc). Existen herramientas como AppLocker, Cryptoprevent, o CryptoLocker Prevention Kit que facilitan esta tarea.
  • Bloquear el tráfico relacionado con dominios y servidores C2 mediante un IDS/IPS3, evitando así la comunicación entre el código malicioso y el servidor de mando y control.
  • Establecer una defensa en profundidad empleando herramientas como EMET, una solución que permite mitigar los exploits, incluyendo los 0-days.
  • No utilizar cuentas con privilegios de administrador: Como ya informamos con anterioridad, el 86% de las amenazas contra Windows se pueden esquivar en caso de utilizar un usuario común en lugar de un administrador. Por eso es importante utilizar para tareas comunes un usuario común y solo dejar el administrador para cuando se vaya a hacer una serie de tareas relacionadas con la manipulación del sistema.
  • Mantener listas de control de acceso para las unidades mapeadas en red. En caso de infección el cifrado se producirá en toda las unidades de red mapeadas en el equipo de la víctima. Restringir los privilegios de escritura en red mitigará parcialmente el impacto.
  • Utilizar bloqueadores de JavaScript para el navegador: Aplicaciones como Privacy Manager bloquean la ejecución de todo código JavaScript sospechoso de poder dañar el equipo del usuario. Esto ayuda a minimizar la posibilidades de quedar infectado a través de la navegación web.
  • Mostrar las extensiones para tipos de ficheros conocidos: Esta es una buena práctica para identificar los posibles ficheros ejecutables que quieran hacerse pasar por otro tipo de fichero.
  • Se recomienda la instalación de la herramienta Anti Ransom, que tratará de bloquear el proceso de cifrado de un ransomware (monitorizando “honey files”). Además, esta aplicación realizará un dump de la memoria del código dañino en el momento de su ejecución, en el que con suerte hallaremos la clave de cifrado simétrico que estuviera empleándose.
  • Emplear máquinas virtuales para aislar el sistema principal: Debido a las técnicas anti-debug y anti-virtualización comúnmente presentes en los ransomware, se ha demostrado que un entorno virtualizado su acción no llega a materializarse.

Asegúrate de tener al día tus copias de seguridad y en caso de infección por Ransomware, formatea, instala desde cero sistema operativo y resto de software, y restaura tus datos en un equipo totalmente limpio.