FireEye, Inc. (NASDAQ: FEYE), la empresa de seguridad guiada por inteligencia, informó que desde el pasado 12 de mayo del 2017, una altamente prolífica campaña de ransomware “WannaCry” se ha observado impactando organizaciones globalmente. El malware WannaCry (también conocido como WCry o WanaCryptor) es un ransomware auto-propagable (tipo gusano) que se esparce a través de redes internas y en el internet público explotando una vulnerabilidad en el protocolo Microsoft Server Message Block (SMB). El malware está adjunto en archivos de datos encriptados con la extensión .WCRY, descarga y ejecuta una herramienta desencriptadora, y demanda entre $300 y $600 dólares vía Bitcoin para desencriptar la información. El malware utiliza canales Tor encriptados para las comunicaciones de comando y control (C2).

Basado en nuestros análisis, los binarios maliciosos asociados con las actividades de WannaCry tienen dos componentes principales, uno que provee la funcionalidad ransomware (actuando de manera muy similar a las muestras de malware WannaCry reportadas antes del 12 de mayo) y un componente usado para propagación, que contiene una función para permitir las capacidades de explotación de búsqueda y SMB.

Dada la rápida y prolífica distribución de este ransomware, FireEye iSIGHT Intelligence considera que esta actividad es un riesgo significativo para todas las organizaciones utilizando equipos Windows potencialmente vulnerables.

Vector de Infección

WannaCry explota una vulnerabilidad de Windows SMB para permitir la propagación después de establecerse y afianzarse en el ambiente. Este mecanismo de propagación puede distribuir el malware tanto dentro de la red comprometida como sobre el internet público. El exploit utilizado tiene el código “EternalBlue” y se fugó de ShadowBrokers. La vulnerabilidad de explotación fue parchada en Microsoft MS17-010.

Basado en nuestro análisis, el malware engendra dos amenazas, la primera enumera los adaptadores de red y determina en cuáles subredes está el sistema. El malware genera entonces una amenaza para cada IP en la subred. Cada una de estas amenazas intenta conectar la IP en el puerto 445 de TCP, si tiene éxito intenta explotar el sistema. Un ejemplo de un intento de explotar un sistema remoto se puede ver en la Figura 1.

Figura 1: Tráfico de red de WannaCry intentado una explosión SMB. En respuesta al uso de esta vulnerabilidad explotada, Microsoft ha provisto estos pasos específicos de gestión de riesgos para WannaCry.

 

Mientras el ransomware WannaCry se ha extendido principalmente a través de explosiones SMB, sus operadores pueden estar usando otros métodos de distribución. Los primeros reportes sugerían que WannaCry se extendió a través de links maliciosos en mensajes spam, sin embargo, FireEye no ha podido corroborar la información de ninguno de nuestros investigadores hasta la fecha.

A pesar del vector de infección original, los operadores de WannaCry pueden adoptar cualquier mecanismo de entrega común a la actividad de ransomware, como documentos maliciosos, malvertising o comprometiendo sitios de alto tráfico. A la luz del alto impacto de esta campaña y la incertidumbre de los primeros vectores de distribución, las organizaciones deben considerar cualquier vector común de entrega de malware como una fuente potencial de infección de WannaCry.

Características del Malware

Cada una de las variants WannaCry identificadas hasta ahora (que tienen funcionalidad tipo gusano) incluyen un killswitch que muchos investigadores de seguridad han usado para prevenir que el malware encripte archivos. Sin embargo, los operadores pueden eliminar o modificar esta característica como se demuestra en el surgimiento de múltiples variantes con un nuevo dominio.

 

 

 

Atribución

En este momento muchos escenarios de atribuciones potenciales de la actividad de WannaCry son viables. Continuamos investigando todos los escenarios potenciales.

Los ciber-criminales con motivaciones financieras son típicamente responsables de las operaciones de ransomware con muchos actores operando independientemente alrededor del mundo. Sin embargo, hasta ahora ninguno de estos actores ha sido identificado como un fuerte candidato para atribuírsele la operación de WannaCry.

Algunos aspectos de la operación WannaCry sugieren que los operadores no son muy sofisticados y pueden no haber anticipado que el malware se extendería tanto como lo hizo. Uno de estos aspectos es la mencionada función killswitch. Los desarrolladores de malware sofisticado y con experiencia en combatir contramedidas de seguridad podrían haber anticipado que esta función sería una amenaza para el éxito del malware. Otro aspecto es que se ha reportado que los pagos de rescate identificados son relativamente bajos hasta ahora, sugiriendo que los operadores del sistema de pagos no estaban equipados para manejar la consecuencia lógica de las infección alrededor del mundo.

Numerosos reportes de open-source afirman el potencial involucramiento de Corea del Norte en esta campaña. Basados en el análisis inicial de FireEye, la similitud de los códigos citados entre el malware ligado a Corea del Norte y WannaCry constituyen una pista potencial que merece ser investigada, pero no son suficientemente únicos, independientemente de otras evidencias que sean claramente indicativas de operadores comúnes.

Impacto

A pesar de los informes alentadores de la disminución de la actividad de las amenazas, WannaCry sigue siendo un riesgo significativo. Dados los efectivos mecanismos de propagación de este malware, virtualmente cualquier organización que no haya aplicado las recomendaciones de Microsoft para mitigar los mecanismos, tiene un riesgo potencial en los intentos de propagación de WannaCry. Más aún, el surgimiento de nuevas variantes demuestra que los operadores pueden remover la función killswitch de WannaCry si lo desean, o modificarla significativamente para evitar las contramedidas tomadas hasta ahora. Los reportes públicos demuestran que los incidentes asociados con la familia de ransomware WannaCry han ocurrido en muchos países.

 

Gestión de Riesgos

Las organizaciones que buscan protegerse de esta amenaza deben leer el Microsoft’s blog on addressing the associated SMB exploitation.

 

La rápida y prolífica distribución de este ransomware ha generado rápidas y proactivas actualizaciones al portafolio completo de FireEye de tecnologías de detección, análisis de inteligencia de amenazas y servicios de recomendación y consultoría.

Los productos de red, email y endpoint de FireEye tienen capacidades de detección de ransomware que pueden ubicar proactivamente y, si se despliega en-línea o con el Exploit Guard activado, bloquear nuevo ransomware incluyendo a WannaCry, distribuido a lo largo de vectores de la red y de infección de emails. Los operadores de WannaCry pueden aprovechar este mecanismo popular de entrega en cualquier momento. Si esto ocurre, los clientes de productos FireEye serán avisados con las siguientes alertas:

 

Los productos FireEye también detectan actividades posteriores de WannaCry, como el comando y control de las comunicaciones e indicadores de host para infecciones WannaCry existentes.

 

Adicionalmente los sensores FireEye PX (Network Forensics) se despliegan internamente y son monitoreados por FireEye as a Service (FaaS), pueden detectar tráfico de propagación SMB. Los clientes pueden aprovechar los indicadores confirmados para cazar posibles infecciones. Estos indicadores se han desplegado a los clientes de FireEye HX (Endpoint) y están disponibles en el portal de inteligencia MySIGHT para los clientes suscritos a iSIGHT.

 

Los proxis de red y otras características de seguridad para redes de empresas pueden prevenir que el malware contacte su dominio killswitch e inadvertidamente desencadenen la encriptación. Las organizaciones pueden desear ajustar las configuraciones de su proxy u otras configuraciones de red para evitar este problema.

 

Adicionalmente, las organizaciones pueden aprovechar los siguientes indicadores de compromiso para identificar potenciales actividades relacionadas. Esto se obtuvo durante los análisis preliminares de muestras asociadas y se continúa investigando.

 

Nota: ACTUALIZACIÓN (16 de mayo – 8 pm ET): Esta publicación se actualizó para incluir información acerca de atribución y dos nuevos dominios killswitch observados, así como una lista de los MD5s y URLs relacionados, sitios tor, ejecutables, claves de registro, archivos creados, cadenas de archivos, procesos iniciados y firmas SNORT. FireEye continúa investigando y proveerá actualizaciones conforme estén disponibles.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *