El ransomware “WannaCry”, afecta a miles de computadoras en el mundo…y Guatemala?

La alerta empezó el 12 de Mayo en la mañana en España, en donde se informaba de un gran número de empresas que estaban sufriendo el ataque de este ransomweare, principalmente la empresa de telefonía Telefónica fue el blanco central de estos ataques viéndose comprometida la seguridad interna de la misma y en donde muchas computadoras pedían “rescate” por dicho secuestro express cibernético. El Alemania se vio afectado el sistema de trenes pero, aun no hay reporte  de victimas físicas por ataque scadas a infraestructuras medicas, aviación, Maritimo o de vehiculos.

Entre las firmas afectadas se incluyen Telefónica, la principal empresa de telecomunicaciones de España, mientras que otras como la eléctrica Iberdrola y Gas Natural tomaron medidas preventivas.

El ransomware, una variante de WannaCry, infecta la máquina cifrando todos sus archivos por medio de una vulnerabilidad que permite la ejecución de comandos remota a través de SMB (Server Message Block) y se distribuye al resto de máquinas Windows que haya en esa misma red.

Los sistemas afectados que disponen de actualización de seguridad son:

Microsoft Windows Vista SP2
Windows Server 2008 SP2 y R2 SP1
Windows 7
Windows 8.1
Windows RT 8.1
Windows Server 2012 y R2
Windows 10
Windows Server 2016

Todo indica que este programa malicioso ha sido especialmente dirigido a las grandes empresas y organizaciones aprovechando una vulnerabilidad presente en versiones no actualizadas de Windows, utilizando la ciber-arma desarrollada por la Agencia de Seguridad Nacional de Estados Unidos (NSA) conocida como Eternal Blue, que fue robada el mes pasado por el grupo de hackers ShadowBrokers. Microsoft se encargó de proveer las actualizaciones necesarias para parchar esta vulnerabilidad en marzo, pero no resulta extraño que muchas empresas pospongan o inclusive ignoren las actualizaciones de Windows.

A todo esto va sumado el GRAN BOTIN que representa el secuestro de las computadora, ya que los pagos se hacen por medio de la moneda electroniuca BITCOIN.

Hasta el dia de hoy se habla de mas de 120 mil equipos infectados, por lo menos, en mas de 150 paises, pero, lo agravante de la situación no son tanto las infecciones, sino que esta escalada scada vaya afectar vidas humanas.

 

Y Guatemala, esta libre o podra ser blanco del Ransomware?

Hemos estado monitoreando no solo la actividad de este ransomware, sino hemo visto que ya se habla del enigmatico grupo  de piratas informaticos Shadow Brokers, los cuales ya tiene un amplio antecedente en ventas de herramientas de la NSA y de buscar infecciones por medio de faloos que posee la plataforma Windows, bloqueando el acceso a los archivos (tanto en sus discos duros como en las unidades de red a las que estén conectadas). La especial criticidad de esta campaña viene provocada por la explotación de la vulnerabilidad descrita en el boletín MS17-010 utilizando EternalBlue/DoublePulsar, que puede infectar al resto de sistemas Windows conectados en esa misma red que no estén debidamente actualizados. La infección de un solo equipo puede llegar a comprometer a toda la red corporativa.

Hemos estado monitoreando por medio de los motores de Busqueda y aun no hay vertigios de archivos contaminados en Guatemala, por otro lado, en el IoT existe un numero superior a las 2500 equipos de computos expuestos por los puertos 21, 22, 445 y 3389 los cuales pueden ser victima de este ransomware. Estaremos monitoreando e informando sobre esta situacion, ya que se anuncia que este Lunes 15 de Mayo continuaran los ciberataques, dejandonos claro, que mas alla que una simple pandemia cibernetica, esto es el inicio de una escala cibercriminal sin presedente en la historia de la ciberseguridad.

 

Medidas de prevención y mitigación

OGDI recomienda realizar los siguientes procedimientos:

  • Actualizar los sistemas a su última versión o parchear según informa el fabricante
  • Para los sistemas sin soporte o parche se recomienda aislar de la red o apagar según sea el caso.
  • Aislar la comunicación a los puertos 137 y 138 UDP y puertos 139 y 445 TCP en las redes de las organizaciones.
  • Descubrir qué sistemas, dentro de su red, pueden ser susceptibles de ser atacados a través de la vulnerabilidad de Windows, en cuyo caso, puedan ser aislados, actualizados y/o apagados.

Pueden apoyarse con la herramienta Anti-Ransomware de emergencia que el equipo de ESET y, de manera gratuita,  ha puesto a la dispocicion: http://eset.la/2qDRhJR

En el caso de haberse visto afectados por esta campaña y no dispusieran de copias de seguridad, se recomienda conservar los ficheros que hubieran sido cifrados por la muestra de ransomware antes de desinfectar la máquina, ya que no es descartable que en un futuro apareciera una herramienta que permitiera descifrar los documentos que se hubieran visto afectados.

 

Jose Leonett

CEO/Founder Observatorio Guatemalteco de Delitos Informaticos con apoyo de las fuentes de: Prensa Libre, Blokchain.info, Criptonoticias, Wikilears y ccn-cert.