WannaCryptor | It's Not Over!... WannaCry 2.0

WannaCryptor 2.0

Después del ciber ataque a escala mundial, del ransomware WannaCrypt el cual puso en alerta máxima a cientos de empresas y organizaciones gubernamentales y comprometió la información de otras tantas entre ellas, la que mas destaco Telefonica, se logro controlar la amenaza, por el momento.

Mas de 200.000 equipos fueron infectados en 99 países, mientras que los ciberdelincuentes han ganado un total de $26.090 de dolares equivalentes a 15 bitcoins. 

Un supuesto investigador, de Reino Unido twiteando como @malwaretehcblog con ayuda de Darien Huss de la firma de seguridad ProofPoint, encontraron por "error" un dominio escondido en el código del ransomware el cual terminaría siendo un KillSwitch, este detendría el ataque.

De acuerdo con el investigador, el ransomware hace una petición al dominio el cual fue comprado por @malwaretechblog por la cantidad de $10,96 dolares.

Sin embargo todos los expertos aseguran que las personas quienes fueron las responsables de llevar acabo este ciber ataque, se preparan para realizar de nuevo su ataque con WannaCry en una versión 2.0 pero esta vez sin el KillSwitch.

Costin Raui, el director del equipo de investigacion y analisis global de Kaspersky Labs ha confirmado la llegada de WannaCry 2.0 pero esta vez sin el killswitch

Los ciberdelincuntes aprobecharon una vulnerabilidad en Windows la cual permite la ejecucion remota de codigo por medio del SMB, la cual esta documentada en los boletines de seguridad de Microsoft, mas concreta mente en MS17 -10 [ Microsoft Security Bulletin MS17-010 - Critical ] en donde se implemento EternalBlue.

EXPLOIT:

Microsoft Windows - Unauthenticated SMB Remote Code Execution (MS17-010) (Metasploit)

Este es un vídeo en donde se muestra al ransomware Wannacryptor infectando un equipo.

Por otro lado, tenemos este video en donde podemos observar al ransomware Wannacryptor aprovechando la vulnerabilidad SMB de Windows.

En una muestra que se obtuvo del ransomware Wannacrypt se decubrio que este elimina las copias de seguridad del sistema (ShadowCopy) al ejecutar el comando "vssadmin.exe Delete Shadows/All/Quiet" 

imagen de elhacker.net

Extensiones de archivos que cifra el ransomware WannaCrypt

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

Se han obtenido las siguientes direcciones .onion C&C

• gx7ekbenv2riucmf.onion
• 57g7spgrzlojinas.onion
• Xxlvbrloxvriy2c5.onion
• 76jdd2ir2embyv47.onion
• cwwnhwhlz52maqm7.onion
• sqjolphimrr7jqw6.onion

Posibles cuentas de los cibercrimanles en las cuales retiran los pagos de Bitcoins

• https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
• https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
• https://blockchain.info/es/address/1BANTZQqhs6HtMXSZyE2uzud5TJQMDEK3m
• https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

Prevención

Ante esta gran  amenaza muchos sitios y expertos en el tema, aseguran que vendrán mas ataques a futuro, incluso a escalas mayores y mas eficaces.

Consejos:

• Si un equipo esta infectado, mantenerlo aislado de la red, para evitar que la infección se propague.
• Mantener bloqueados los puertos 138, 139 y 445 (sean TCP o UDP)
• Mantener actualizados los sistemas y parchar la vulnerabilidad de SMB (MS17 -10)
• Mantener protecciones genéricas de Ransomware actualizadas al igual que antivirus.
• Realiza copias de seguridad de toda la información importante de tu equipo (BackUps), en caso de no necesitar esa información en tu equipo, te recomiendo extraerla, ya sea un un pendrive, disco duro externo y portátil o almacenar en la nube.
• Microsoft ha liberado parches de seguridad para sistemas obsoletos, como lo son Windows Vista, Windows Xp, Windows Server 2008, etc.

Parcha la vulnerabilidad MS17 -10 en este catalogo en donde podrás encontrar las actualizaciones.

[ Catalogo de actualizaciones de Microsoft ]

Te recomiendo ver el SecurityHangout de DAIT Seguridad Informatica en Youtube: #SecurityHangout: Ransomware, manual de supervivencia para un rehén

Cada día, existen nuevas infecciones de Ransonware, debes prepararte para evitar ser victima y en caso de serlo estar listo para afrontar la situación.

Mapa a nivel mundial de las infecciones registradas de Ransomware - 14-5-2017

FUENTES:

https://www.theguardian.com

https://www.exploit-db.com

http://thehackernews.com