![\"\"](\"http:\/\/enigm4sec.com\/it\/it\/wp-content\/uploads\/2017\/11\/cryptolocker-300x235.png\")
\u00bfQu\u00e9 es el ransomware?<\/strong><\/p>\nEl ransomware es tipo de ataque cibern\u00e9tico que permite a los ciberdelincuentes tomar el control total de un sistema inform\u00e1tico y de la informaci\u00f3n que \u00e9ste contiene bloqueando el acceso a esta hasta que se pague un rescate.<\/p>\n
Para que los ciberdelincuentes accedan al sistema, necesitan que la v\u00edctima descargue y ejecute un software malicioso en el sistema inform\u00e1tico. Esto se logra a trav\u00e9s de ataques de tipo \u201cspear phishing\u201d o \u201cingenier\u00eda social\u201d haciendo que la v\u00edctima haga clic en un enlace y\/o archivos enviados t\u00edpicamente por correo electr\u00f3nico, mensajer\u00eda instant\u00e1nea o redes sociales.<\/p>\n
Una vez que el software est\u00e9 en ejecuci\u00f3n en la computadora de la v\u00edctima, \u00e9ste bloquea todos los archivos: documentos, archivos musicales y fotograf\u00edas ser\u00e1n inaccesibles.<\/p>\n
En nuestro blog hemos analizado otros casos de ransomware, para m\u00e1s informaci\u00f3n pueden leer los siguientes art\u00edculos:<\/p>\n
Ransomware: como evitar ser chantajeado y vivir feliz:<\/strong><\/p>\n El ransomware tiene algunas caracter\u00edsticas clave que lo diferencian de otros programas \u00a0 maliciosos<\/strong>\u00a0<\/strong><\/p>\n \u00bfPor qu\u00e9 el ransomware no es detectado por los antivirus?<\/strong><\/p>\n El ransomware pertenece a la categor\u00eda llamada \u201cmalware de segunda generaci\u00f3n\u201d y los productos antivirus se han quedado atr\u00e1s en t\u00e9rminos de eficacia porque carecen de la capacidad de detectar y eliminar \u00e9ste tipo de malware avanzado.<\/p>\n El tiempo promedio para que un productor de antivirus detecte un c\u00f3digo malicioso y libere la \u201cvacuna\u201d correspondiente es de aproximadamente dos d\u00edas. Durante \u00e9ste lapso de tiempo, pueden ocurrir varias actividades fraudolentas tales como recolecci\u00f3n de informaci\u00f3n financiera (credenciales de banco en l\u00ednea, nombres de usuario y contrase\u00f1as, etc.) y luego cifrar la informaci\u00f3n a trav\u00e9s de una infecci\u00f3n de ransomware. Este tiempo es demasiado largo y la protecci\u00f3n no es suficiente.<\/p>\n \u00a0<\/strong>\u00a0<\/strong><\/p>\n \u00bfQu\u00e9 es el spear phishing?<\/strong><\/p>\n El \u201cphishing\u201d es la pr\u00e1ctica de enviar mensajes por correo electr\u00f3nico en los cuales los ciberdelincuentes se hacen pasar por una fuente bien conocida, como un banco o un proveedor de servicios p\u00fablicos importantes. Al hacer clic en el enlace indicado en el correo (t\u00edpicamente se incluyen mensajes intimidatorios tales como \u201ctu cuenta ser\u00e1 suspendida\u201d para convencer a la v\u00edctima a hacer clic en el link), la v\u00edctima es llevada a un sitio aparentemente autentico, pero fraudulento, que recoger\u00e1 toda informaci\u00f3n de acceso que se haya introducido y que pueda instalar malware en el sistema inform\u00e1tico.<\/p>\n El \u201cspear phishing\u201d es una versi\u00f3n m\u00e1s sofisticada: los correos electr\u00f3nicos se dirigen a la v\u00edctima por su nombre completo y con otra informaci\u00f3n personal y pueden aparecer que provienen de alg\u00fan superior en organizaci\u00f3n, del proveedor de correo electr\u00f3nico, banco etc. que le advierte que cambie la contrase\u00f1a o que abra un cierto archivo.<\/p>\n \u00a0<\/strong><\/p>\n Din\u00e1mica del ataque<\/strong><\/p>\n \u00a0<\/strong>El 12 de mayo de 2017 el ransomware \u201cWanna Cry\u201d (as\u00ed llamado porque todos los archivos cifrados tienen extensi\u00f3n \u201c.wcry, .wnry, wncry) comenz\u00f3 a afectar las computadoras en varias partes del mundo.<\/p>\n Una vez que los datos de la computadoras hayan sido cifrados, se muestra un mensaje informando al usuario que los archivos han sido encriptados y exige un pago de $300 en Bitcoins dentro de tres d\u00edas.<\/p>\n \u00bfQu\u00e9 es el \u201ckill switch\u201d?<\/strong><\/p>\n El viernes, un experto en temas de seguridad inform\u00e1tica (que prefiri\u00f3 no divulgar su identidad, es identificado por su cuenta twitter \u201c@MalwareTechBlog\u201d), mientras trabajaba realizando actividades de ingenier\u00eda inversa sobre muestras de Wanna Cry, descubri\u00f3 que los programadores del ransomware implementaron un control para comprobar si una cierta URL con un nombre largo y sin sentido:<\/p>\n \u201cIuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[dot]com\u201d<\/strong><\/p>\n llevaba a una p\u00e1gina web existente. @MalwareTechBlog, curioso sobre por qu\u00e9 el ransomware buscaba ese dominio, decidi\u00f3 registrarlo. Sin saberlo, el resultado de esa inversi\u00f3n de $10.69 fue suficiente para disminuir de forma significativa y luego detener las infecciones del ransomware.<\/p>\n La l\u00f3gica de funcionamiento es la siguiente: el ransomware se instala en la computadora y revisa si el dominio\u00a0Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[dot]com<\/strong>\u00a0se encuentra registrado y activo, de no ser as\u00ed procede con el cifrado de la informaci\u00f3n de la computadora infectada y sigue con su propagaci\u00f3n tratando de identificar otros sistemas vulnerables; en caso de encontrar ese dominio activo, detiene sus operaciones de cifrado. Por esta raz\u00f3n, despu\u00e9s que @MalwareTechBlog registr\u00f3 el dominio, los ataques fueron detenidos.<\/p>\n Lamentablemente \u00e9sta medida no fue \u00fatil para las computadoras que ya estaban infectadas por el ransomware.<\/p>\n \u00a0<\/strong>\u00bfQu\u00e9 es la vulnerabilidad de SMB \u201cEternalBlue\u201d?<\/strong><\/p>\n Un poco de historia: durante el mes de Marzo del 2017 un grupo de ciberdelincuentes conocido como \u201cShadow Brokers\u201d hizo p\u00fablicas una serie de \u201carmas tecnol\u00f3gicas\u201d supuestamente desarrolladas por la NSA \u2013 National Security Agency de Estados Unidos de Am\u00e9rica y que expon\u00eda varias vulnerabilidades de tipo \u201czero day\u201d en Windows y, entre ellas, se encontraba una vulnerabilidad que abusa de configuraciones por defecto del protocolo SMBv1. Una vez que el exploit (llamado \u201cEternalblue\u201d) es exitoso, procede a la instalaci\u00f3n de una puerta trasera conocida como \u201cDoublePulsar\u201d.<\/p>\n Versiones de Microsoft Windows vulnerables<\/strong><\/p>\n A continuaci\u00f3n la lista de las versiones de Microsoft Windows vulnerables al ataque ransomware:<\/p>\n Debido al gran impacto que tuvo el ransomware Wanna Cry a nivel mundial, Microsoft liber\u00f3 de forma extraordinaria un parche de seguridad tambi\u00e9n para el sistema operativo Windows XP y otras versiones de Windows cuyo soporte ha sido descontinuado. A pesar de que el productor de sistemas operativos haya sugerido actualizar las versiones Windows obsoletas, en muchas empresas todav\u00eda se siguen ocupando sin considerar los riesgos de seguridad implicados.<\/p>\n Indicadores de equipo comprometido<\/strong><\/p>\n Es muy f\u00e1cil identificar si un equipo ha sido comprometido por el ransomware ya que ser\u00e1 imposible acceder a la informaci\u00f3n. Adem\u00e1s, si se identifican los siguientes archivos es probable que el sistema haya sido comprometido por el ransomware Wanna Cry:<\/p>\n Se crea la siguiente llave en el registro de Windows:<\/p>\n Empresas afectadas a nivel mundial<\/strong><\/p>\n Varias empresas de varios sectores han sido afectadas por el ransomware WannaCry tales como sector industria, manufactura, gobierno, salud, telecomunicaciones, transporte, educaci\u00f3n y financiero.<\/p>\n A continuaci\u00f3n un listado de las empresas afectadas (el elenco pudiera no estar completo):<\/p>\n Fuente: Wikipedia.org<\/strong><\/p>\n \u00a0<\/strong>La operaci\u00f3n en las empresas v\u00edctimas del ataque se vio seriamente afectada ya que se verific\u00f3 la detenci\u00f3n completa de las actividades productivas con una menci\u00f3n especial para el sector salud, el personal m\u00e9dico no tuvo acceso a informaci\u00f3n y a los equipos con consecuentes riesgos para los pacientes.<\/p>\n Lado cliente:<\/strong><\/p>\n\n
![\"\"](\"http:\/\/enigm4sec.com\/it\/it\/wp-content\/uploads\/2017\/11\/ransomware-pay-300x300.jpg\")
La infecci\u00f3n inicial pudo haber sido a trav\u00e9s de una vulnerabilidad en las defensas de la red o un ataque de spear phishing muy bien dise\u00f1ado. Una vez que est\u00e9 en ejecuci\u00f3n, lo primero que el ransomware realiza es validar la existencia del dominio\u00a0Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[dot]com<\/strong>\u00a0que los expertos de seguridad definieron como \u201ckill switch\u201d. Si no lo encuentra activo entonces el ransomware cifra la unidad de disco duro de la computadora y a continuaci\u00f3n intenta explotar la vulnerabilidad del servicio SMB a trav\u00e9s de un exploit llamado \u201cEternalblue\u201d y poder as\u00ed propagarse realizando escaneos de la red local y de direcciones IP en Internet que tengan activos los puertos 445 y 139.<\/p>\n![\"\"](\"http:\/\/enigm4sec.com\/it\/it\/wp-content\/uploads\/2017\/11\/vulnerabilidad-windows-300x188.jpg\")
El d\u00eda 14 de marzo 2017 Microsoft public\u00f3 los parches de seguridad para corregir la vulnerabilidad del servicio SMB (en el security update MS17-010); sin embargo muchas empresas no aplicaron la actualizaci\u00f3n de seguridad y por ende la propagaci\u00f3n del ransomware Wanna Cry fue muy exitosa.<\/p>\n\n
\n
\n
\n
Mitigaci\u00f3n y remediaci\u00f3n<\/h1>\n
\n