El FBI alerta: Dos nuevos 'malwares' vinculados al grupo de ciberdelincuentes 'Hidden Cobra'

El US-CERT, junto con el DHS y el FBI, ha lanzado una alerta advirtiendo de dos nuevos malwares utilizados por el grupo de ciberdelincuentes 'Hidden Cobra'.

Este grupo, a menudo conocido como 'Lazarus Group' o 'Guardians of Peace', está respaldado por el gobierno de Corea del Norte y es conocido por lanzar ataques contra organizaciones de medios de comunicación, aeroespaciales, de sectores financieros y a infraestructuras críticas en todo el mundo.
 

Los malwares descubiertos de los que están haciendo uso son: un RAT conocido como Joanap y un gusano denominado Brambul.

Joanap - Remote Access Trojan

Según alertan, se trata de un malware de dos estapas que establece comunicaciones entre pares y botnets para permitir operaciones maliciosas.

Este troyano generalmente infecta un sistema como un archivo entregado por otro malware, que los usuarios descargan sin saberlo cuando visitan webs comprometidas por los componentes del grupo 'Hidden Cobra', o cuando abren archivos adjuntos de correos electrónicos maliciosos.

Joanap recibe comandos remotamente desde un C&C controlado por el grupo de ciberdelincuentes, que les da la capacidad de robar datos, instalar y ejecutar más archivos maliciosos e inicializar comunicaciones de proxy en un dispositivo Windows comprometido.

Otras funcionalidades son la administración de archivos y procesos, creación y eliminación de directorios, administración de botnets y administración de nodos.

Durante el análisis de la infraestructura se ha encontrado este malware en 87 nodos de red comprometidos en 17 países.


Brambul - SMB Worm

Brambul es un gusano de autenticación de fuerza bruta que, al igual que el conocido ransonware WannaCry, abusa del protocolo de mensajes del servidor (SMB) para propagarse a otros sistemas.

Cuando se ejecuta, el malware intenta establecer contacto con los sistemas de las víctimas y las direcciones IP de las subredes locales. Si tiene éxito, la aplicación intenta obtener acceso no autorizado a través de SMB lanzando ataques de diccionario con una lista de contraseñas incorporada.

Una vez que Brambul consigue acceso, el malware transmite información de los sistemas vulnerados a los componentes del grupo 'Hidden Cobra' mediante correo electrónico. Esta información incluye: IP, nombre de host, usuario y contraseña.

Los ciberdelincuentes pueden utilizar la información robada para acceder al sistema comprometido a través del protocolo SMB.

El DHS recomienda a los administradores de sistemas mantener sus equipos y software actualizado, realizar escaneos con su Antivirus, desactivar SMB y prohibir ejecutables desconocidos.

Daniel Púa
@dpua_
dpua@hispasec.com

Más información:

Alerta del US-CERT:

https://www.us-cert.gov/HIDDEN-COBRA-North-Korean-Malicious-Cyber-Activity

Botnet 'Smominru' afecta a más de 500.000 equipos usando EternalBlue

El famoso exploit de la NSA que salió a la luz el año pasado sigue causando estragos.

A pesar de la reciente caída de las criptomonedas, infectar equipos para minar sigue siendo un negocio en alza entre los ciberdelincuentes debido a su simpleza y utilidad.

Monero (XMR) sigue siendo la moneda favorita para minar ilegalmente gracias a que te proporciona mayor anonimato a la hora de realizar transacciones. 

La vulnerabilidad utilizada que se dio a conocer con WannaCry y que paralizó a medio mundo sigue siendo uno de los principales vectores de ataque para este tipo de malware. Con parche de seguridad disponible desde Marzo de 2017, EternalBlue (CVE-2017-0144 SMB) sigue siendo una de las vulnerabilidades más explotadas.

Smominru (también conocido como Ismo) se ha expandido por muchas zonas, pero la mayoría de los equipos infectados se encuentran en Rusia, India y Taiwán. La razón de que haya más infecciones en estos países es que aún no han tomado conciencia de la necesidad de actualizar sus sistemas a fin de mejorar su seguridad y el número de instalaciones de parches de seguridad en Windows es muy bajo.

El malware ha infectado alrededor de 526.000 sistemas Windows desde Mayo de 2017, lo cuál ha hecho que los atacantes minen 8.900 Monero, que corresponden a 1,86 millones de dólares (actualmente, tras la caída de las criptomonedas).

Los expertos de ProofPoint notificaron al servicio de protección DDoS SharkTech que la infraestructura de comando y control de 'Smominru' se encontraba alojada en sus servidores, sin embargo no obtuvieron respuesta.

Según varios investigadores, esta botnet va a seguir expandiéndose a lo largo del año.

Daniel Púa
@arrowcode_
dpua@hispasec.com

Más información:

Análisis de ProofPoint:

https://www.proofpoint.com/us/threat-insight/post/smominru-monero-mining-botnet-making-millions-operators

WannaCry: La amarga letanía de los servidores samba

Actualmente, el término “viernes negro” se asocia a nuestras ansias consumistas. Un día diseñado para el consumidor, en el que puede liberar esa fuerza inhumana que impulsa a ciertas personas a volatilizar cualquier atisbo de ahorro. Pero esto no es así. Originalmente, un viernes negro era un día fatídico, señalado así por la ocurrencia de un acto luctuoso, o incluso un desastre financiero (no, el crack del 29 cayó en jueves), que vendría a ser recordado así en años venideros.

El viernes 12 de mayo fue un verdadero “viernes negro” para muchísimos administradores de sistemas y personal de seguridad. Esa mañana, con un mecanismo clásico y nada original, inaugurado por el gusano de Morris hace 30 años, comenzó a replicarse WannaCry. Fue tal el latigazo mediático que hasta las cabeceras de los noticieros se llenaron de palabros incomprensibles para el espectador medio. El resto es historia, reciente y conocida por todos, sufridas en sus carnes por algunos compañeros de oficio.

Nunca se supo con absoluta certeza si el arponazo original fue una campaña de phishing dirigida (spear phishing) o servicios samba expuestos públicamente. La primera opción, desde luego, fue perdiendo fuelle conforme pasaba el tiempo y no arrojaba resultados conclusivos. El supuesto correo original no aparecía por ninguna parte, sin embargo, a la luz del hecho de que un gran número de corporaciones y grandes empresas comenzarán a activar sus protocolos de contención, alguna que otra voz se alzó teorizando acerca de un posible uso de un zeroday. El muy efectivo ETERNALBLUE. Resultó curioso, porque el vector característico del ransomware es el correo, a la caza del usuario desprevenido, y nadie se esperaba un RCE con replicación a la Conficker.

Un fallo, dos fallos, tres fallos

No dudamos en que se tomaron las medidas adecuadas, se actualizaron protocolos y se endurecieron políticas de seguridad (recordemos las lecciones aprendidas por Google tras la operación Aurora). Pero sí o sí el fallo, bastante grave, estaba allí. No nos estamos refiriendo a la exposición de un servicio sin parchear, que ya de por sí otorgaría la suficiente fuerza para arquear las cejas, nos referimos a la muy cuestionable idea de exponer un servicio que no es (o no debería serlo) a priori vital para la organización.

Si pensamos en cómo están estructuradas algunas redes internas, en cómo algunos clientes conectan "a las bravas" con carpetas compartidas en una topografía plana y seguimos tiramos del hilo hasta alcanzar un servidor samba escuchando hacia Internet, probablemente la segunda opción de la que hablábamos no suene tan alocada. Toda una combinación de factores inocentes por sí mismos pero letales cuando entran en combinación. Un zombi da con el servidor que "teníamos por ahí perdido", infecta, nuestro servidor se vuelve contra nosotros, redes planas, equipos sin parchear y...París era una fiesta.

¿Si una infección por ransomware vía ingeniería social nos está evidenciando un nivel de concienciación deficiente, qué nos está enseñando un ataque como el de WannaCry? En primer lugar, dejar un servicio probablemente no vital escuchando hacia Internet. No, no valen las excusas de que era necesario, puesto que si lo era no estaba debidamente parcheado, filtrado o controlado. En segundo lugar, no fragmentar adecuadamente un servicio de la DMZ con la red interna donde se conectan los empleados. En tercer y último lugar, es evidente que las estaciones de trabajo tampoco estaban parcheadas. Podríamos seguir tirando del hilo: ausencia de IDS, actualización de las reglas del mismo, etc, pero creemos que con esto es suficiente.

Realmente, deberíamos sopesar si en la clásica ecuación seguridad-flexibilidad nos estamos dejando llevar por las quejas de los usuarios o los ajustadísimos presupuestos (talla 34) de los departamentos de seguridad no dejan margen para las sutilezas. El "todo deprisa y corriendo" es una fortuna caprichosa que golpea en el momento más inesperado. Mientras el truco funciona la seguridad siempre parece un desperdicio de recursos, pero cuando los planetas se alinean y los sambas susurran entre ellos...nos encontramos a milímetros de la tragedia y entonces, durante un breve espacio de tiempo, la seguridad nos parece atractiva, elegante, necesaria, confortable y ¡chas!, por arte de magia, ya no hay fondo en el bolsillo. Eso sí, el hechizo dura poco, muy poco.

Por cierto, en España estamos así de sambas:

Y muchos de ellos, cuando susurran, nos cuentan al oído esto:

David García

@dgn1729

dgarcia@hispasec.com

Más información

Gusano Morris

https://es.wikipedia.org/wiki/Gusano_Morris

Un ransomware ataca a múltiples compañías

http://unaaldia.hispasec.com/2017/05/un-ransomware-ataca-multiples-companias.html

WannaCry y las lecciones que nunca aprendemos

http://unaaldia.hispasec.com/2017/05/wannacry-y-las-lecciones-que-nunca.html

Petya es el nuevo ransomware que causa estragos en todo el mundo

No han pasado ni dos meses desde que Wannacry hiciera temblar a muchas de las grandes compañías de todo el mundo cuando otro ransomware similar vuelve a atacar.

Todo indica que este nuevo ataque se está reproduciendo a gran velocidad por todo el mundo, aunque por el momento Ucrania parece ser el país más afectado. Petya (diminutivo ruso de Pedro) actúa de forma similar a Wannacry, de hecho emplea el mismo exploit conocido como ETERNALBLUE. También se han detectado casos de afectados en España.

Petya pidiendo el rescate

El mensaje es claro:

"Si ves este texto, tus archivos ya no están accesibles, porque han sido cifrados. Tal vez estés ocupado buscando una forma de recuperar tus archivos, pero no malgastes tu tiempo. Nadie puede recuperar tus archivos sin nuestro servicio de descifrado".

Tal y como ocurría con Wannacry el virus cifra archivos importantes del usuario y muestra un mensaje en el que se solicita un rescate para recuperar la información secuestrada. La lista de extensiones cifradas es amplia:

.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .mrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx  .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

Documentos, bases de datos, hojas de cálculo, correos, archivos comprimidos… toda la información importante se verá cifrada tras la actuación de Petya. El rescate solicitado para recuperarla  es de 300 euros en bitcoins.

Petya no es un malware nuevo, hace más de un año ya empezamos a ver muestras de este malware. En esta ocasión nos encontramos con una nueva versión que ha recogido el exploit empleado por Wannacry para su actuación.

Una de las acciones que realiza este malware es cifrar el MBR al reiniciar, por lo que ya será imposible acceder al sistema operativo y solo se mostrará una pantalla al arrancar el ordenador. De todas formas cuenta con un temporizador de una hora para forzar el reinicio. La recomendación en este caso es desconectar el equipo de la red hasta actualizar, pero no apagarlo y evitar cualquier tipo de reinicio forzado.

Para la infección a través de la red emplea técnicas de movimiento lateral a través de WMIC. Estas técnicas permiten al malware conseguir información de los sistemas de la red incluso sin necesidad de utilidades adicionales como RAT.

Los parches a aplicar en este caso son los mismos que para Wannacry. Es decir, aquellos sistemas que ya aplicaron los parches necesarios anteriormente no pueden verse afectados.

Las actualizaciones publicadas por Microsoft para evitar esta vulnerabilidad se encuentran bajo el boletín MS17-010 y son las siguientes según sistema:

Para Windows 8.1

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012216

Para Windows 10

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606

Para Windows 7 y Server 2008

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

Windows XP, Server2003 y 8

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Una muestra de Petya en Virustotal

Another #petya sample from a month ago: https://t.co/3n3gCadjKM

— Karl Hiramoto (@karlhiramoto) 27 de junio de 2017

Al igual que ocurría con Wannacry se buscaba un "botón de desactivación", un dominio que en caso de no existir podría detener la cadena de propagación. Un investigador español ha encontrado el dominio coffeeinoffice.xyz que ya ha sido desactivado. Aunque aun no se ha comprobado que eso haya parado la propagación

Por otra parte, la dirección de correo del atacante a través de la cual se realiza el pago está bloqueada, por lo cual será imposible llegar a realizar el pago.


Nuestro compañero Fernando Díaz explica en un hilo de Twitter acciones para detenerlo y una "vacuna temporal":

La rutina de cifrado se activará cuando reiniciemos, en el arranque. En caso de ver que se ejecuta un CHKDSK apagar

— Fernando (@entdark_) 27 de junio de 2017

... frenaría el proceso. En cualquier caso, es una vacuna temporal. Apagar y sacar los datos es lo ideal.

— Fernando (@entdark_) 27 de junio de 2017

Vale desde powershell crear New-Item %unidad%/windows/perfc

— Fernando (@entdark_) 27 de junio de 2017

Sin duda una de las imágenes del ataque queda reflejada en esta foto de un supermercado ucraniano:

Pues hoy no compra nadie

Está claro. No aprendemos:

http://unaaldia.hispasec.com/2017/05/wannacry-y-las-lecciones-que-nunca.html

Más información:

una-al-dia (12/05/2017) Un ransomware ataca a múltiples compañías

http://unaaldia.hispasec.com/2017/05/un-ransomware-ataca-multiples-companias.html

una-al-dia (17/05/2017) WannaCry y las lecciones que nunca aprendemos

http://unaaldia.hispasec.com/2017/05/wannacry-y-las-lecciones-que-nunca.html

Identificado ataque de ransomware contra varias multinacionales con sede en España

https://www.ccn-cert.cni.es/seguridad-al-dia/avisos-ccn-cert/4667-ccn-cert-av-04-17-identificado-ataque-de-ransomware-contra-varias-multinacionales-con-sede-en-espana.html

VirusTotal

https://virustotal.com/fr/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745/analysis/

https://virustotal.com/es/file/71e48c8cfe11a823ed3d26793fe0c925621a0d693d4925538de2ec7313062d67/analysis/

Wanna Cry Ransomware : Update 5/21/2017 FIX

https://answers.microsoft.com/en-us/windows/forum/windows_10-security/wanna-cry-ransomware/5afdb045-8f36-4f55-a992-53398d21ed07

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

WannaCry y las lecciones que nunca aprendemos

Ya pasó la resaca del famoso ransomware WannaCry del pasado viernes, sin embargo siguen las amenazas de una nueva versión. Cuando ya sabemos casi todo del malware, llega el momento de recapacitar y ver si de una vez somos capaces de aprender algo de estos casos.

Como el coyote. No
aprendemos de los errores

En los últimos días hemos visto noticias sobre el ciberataque mundial que ha "colapsado el mundo”, con frases como que estamos ante "el mayor ciberataque de todos los tiempos" o que "estamos ante el inicio de una guerra"... Desde Hispasec queremos poner un poco de orden en toda la información que ha estado circulando estos días.

Es cierto que hacía tiempo que no se veía un ataque que fuera tan grave, global y problemático. Sin embargo los que tenemos algo de memoria, y si no basta con recurrir a Google, podemos recordar más de un ataque similar hace ya muchos años. Podemos recordar casos como el LoveLetter, Slammer, Nimda, Conficker o muchos similares. Después de cada caso de estos tendemos a recapacitar, ver los errores, se corrige, se parchea y se olvida todo. Sin embargo vemos como después de cada caso de este tipo en vez de aprender algo tendemos a olvidar rápidamente lo ocurrido.

Se ha hablado de un ataque global de gran escala con muchos infectados. La prensa se ha hecho eco de la gravedad del problema y la propagación que ha tenido. Se ha hablado de cifras de infección de en torno a 100.000 equipos, como algunas de las más elevadas. Sin embargo podemos recordar los números de infectados por otros malware a lo largo de la historia, por citar algunos representativos:

• CIH (1998) 60 millones de equipos infectados.
• I Love You o Loveletter (2000) fueron 50 millones infectados.
• Slammer (2003) con más de 75.000 servidores infectados en los primeros 10 minutos.
• Sasser (2004) más de 1 millón de equipos infectados.
• Conficker (2009) unos 7 millones infectados.

Los datos hablan por sí solos y las comparaciones son odiosas. En cualquier caso, ¿se aprendió algo de estos otros malware con infecciones masivas? Todo indica que no.

Y si hablamos de ransomware aunque no hay cifras concretas, estamos seguros de que el famoso virus de la policía ha infectado a mucha más gente que WannaCry. En un periodo de tiempo más extenso, sí, pero esa muestra de malware dio grandes quebraderos de cabeza a miles de usuarios.

¿Podremos aprender algo de una vez?

"de nuevo un gusano que aprovecha
una vulnerabilidad en un producto de
Microsoft provoca el colapso en Internet."

"Vulnerabilidades tienen todos los sistemas, no es un problema en exclusiva de Microsoft, pero este caso viene a poner el dedo en la llaga. Cuando... Microsoft intenta disminuir el tiempo que transcurre desde que es descubierta la vulnerabilidad hasta que el sistema del cliente es actualizado."

Parece que se trata de algo reciente, escrito justo después del ataque del viernes, sin embargo aunque parezca sorprendente estos párrafos tienen más de 14 años (27 de enero de 2003). En una-al-día posterior al caso SQL-Slammer Aquella noticia se titulaba "Lecciones del gusano MS-SQL, y la verdad es que prácticamente todo el artículo sigue siendo vigente. Y es muy recomendable su lectura con los ojos puestos en la actualidad, para comprobar lo poquito que han cambiado muchas cosas.

Las conclusiones y lecciones después de cada caso son muy similares. Nada nuevo.

Actualizaciones. En esto somos muy pesados, todos los días hablando de parche para x o para y, hoy es Windows, mañana Apple, al otro el navegador... Pero es que nuestra experiencia en auditorías nos dice que mantener los equipos y servidores actualizados nos libra de más de un 90% de los problemas. De hecho los equipos actualizados no se verían afectados por este ataque.

"La disponibilidad de un parche no asegura la protección de los sistemas, es necesario que los administradores o usuarios lo apliquen. Si bien es cierto que en algunos casos puede ser un problema por dejadez, falta de tiempo o simple desconocimiento, existe también ciertas reticencias a su instalación inmediata en ambientes en producción. No es que los administradores tengan manías, sino todo lo contrario, es por experiencia propia: parches que se superponen, regresiones de vulnerabilidades, problemas de estabilidad o incompatibilidad con otros componentes."

Otro párrafo que no es nuevo, también tiene 14 años... Pero el problema parece que ha sido el mismo, la falta de una actualización que llevaba un par de meses publicada.

"Los usuarios deben ser conscientes de que, cada vez que no instalan un parche crítico, están dejando una puerta abierta para que un intruso pueda controlar totalmente su sistema, sustraer su información más sensible, borrar sus discos duros, o espiar todo lo que hacen con su ordenador. Y esto ocurre con mucha más frecuencia de la que se cree, con el agravante de que suele pasar desapercibido, al contrario de lo que ocurre con los gusanos."

También formaba parte de las conclusiones de Hispasec tras el gusano Sasser en 2004. 13 años después podemos comprobar que los problemas siguen siendo los mismos.

Pero si los casos anteriores se han cobrado muchas víctimas "civiles", destaca de esta campaña los nombres de las empresas afectadas. Dejando aparte el caso de Telefónica y otras grandes empresas, el ransomware se ha cobrado victimas entre corporaciones y organismos de todo el mundo, afectando a servicios tan críticos como el Servicio Nacional de Salud de Reino Unido, u organismos estatales y servicios de transporte en Rusia. WannaCry ha demostrado que las infraestructuras siguen siendo tan frágiles como hace años y que, en cuanto a gestión de riesgo, en ocasiones la ganancia de flexibilidad en las operaciones sigue priorizándose sobre la seguridad del sistema, unida en algunos casos a la desidia en el mantenimiento.

Copias de seguridad. Posiblemente siga siendo el gran olvidado, pero la realización de copias de seguridad periódicas diarias, semanales... Con una adecuada política, manteniendo las copias en un entorno diferente, etc. puede salvar de un problema de este tipo. Si hay una copia de seguridad de todos los datos del día anterior ante un problema similar podemos estar seguros que la pérdida no será tan significativa.

Pagar o no pagar. Hay que recordar que en muchos casos de ransomware aunque se ha llegado a producir el pago no se ha podido recuperar la información. La recomendación siempre es no pagar. Por lo que se sabe la cantidad recaudada en los tres monederos que recaudaban los fondos de este malware apenas sobrepasa los 70.000 dólares. Cantidad que se puede considerar baja teniendo en cuenta el impacto que ha tenido.

Indicadores de compromiso. Esta muy bien disponer de un firewall, detector de intrusos y un buen número de medidas de seguridad activas y proactivas, pero de nada sirven si no se mantienen al día. Los indicadores de compromiso es el medio empleado en la actualidad para alimentar sistemas de seguridad. En Hispasec ofrecemos IOCFlow que permite aportar a los mecanismos de protección datos en tiempo real, incluyendo malware, documentos maliciosos de Office e incluso URLs maliciosas.

De todas formas no estamos libres de problemas, siempre puede surgir un 0day que cause estragos. Vulnerabilidad no conocida, sin parche, y si quieres redondearlo para sistemas Windows actualizados, con ejecución remota de código. Aunque actualmente este tipo de problemas suelen estar tan bien cotizados en el mercado negro que no se emplean en ataques a gran escala sino para ataques muy muy dirigidos.

Cosas positivas, la comunicación e información es mucho más rápida (que antaño), así como la colaboración entre empresas de seguridad, antivirus, proveedores, telcos, organismos gubernamentales, etc. colaboran de forma activa y mucho más cuando hay que enfrentarse a casos como este. La seguridad de la red es algo que nos atañe a todos. En este caso cabe señalar la colaboración de telefónica con otras compañías compartiendo toda la información que disponía, medidas, etc. 

Cosas negativas. Como siempre en muchos casos la información de algunos medios más pensando en una noticia mediática que en la propia noticia y en lo que importa. Algo que cada vez es más frecuente en Internet, especialmente con el uso y abuso de redes sociales, es el hacer leña del árbol caído. En este caso muchas de las informaciones se centraban en Telefónica, sencillamente porque fue la primera afectada y la que reconoció el problema, le podía haber tocado a cualquiera. De hecho otras actuaron de forma proactiva al saber lo que ya había pasado. A las pocas horas vimos como el problema era global. Empezamos a conocer noticias del sistema de salud inglés, de Latinoamérica, y otras compañías afectadas de todo el mundo.

Microsoft también saca sus propias conclusiones, también interesantes incidiendo igualmente en la importancia de mantener los sistemas actualizados y de la coordinación entre todos los actores para luchar contra estos ataques.

"Debemos tomar de este reciente ataque una renovada determinación para una acción colectiva más urgente. Necesitamos que el sector tecnológico, los clientes y los gobiernos trabajen juntos para protegerse contra los ataques cibernéticos. Se necesita más acción, y se necesita ahora. En este sentido, el ataque WannaCrypt es una llamada de atención para todos nosotros. Reconocemos nuestra responsabilidad de ayudar a responder a esta llamada, y Microsoft se compromete a hacer su parte."

Las lecciones que debemos aprender están expuestas desde hace mucho, solo nos queda ser realmente conscientes de que debemos aprenderlas y tomarnos el problema en serio. Esperemos que esta vez haya sido la definitiva.

Más información:

una-al-dia (12/05/2017) Un ransomware ataca a múltiples compañías
http://unaaldia.hispasec.com/2017/05/un-ransomware-ataca-multiples-companias.html

una-al-dia (25/4/1999) El virus CIH se activa mañana
http://unaaldia.hispasec.com/1999/04/el-virus-cih-se-activa-manana.html

una-al-dia (04/05/2000) Consideraciones sobre VBS.LoveLetter, un gusano muy simple

http://unaaldia.hispasec.com/2000/05/consideraciones-sobre-vbsloveletter-un.html

una-al-dia (27/01/2003) Lecciones del gusano MS-SQL

http://unaaldia.hispasec.com/2003/01/lecciones-del-gusano-ms-sql.html

una-al-dia (03/05/2005) Lecciones aprendidas con Bagle/Beagle

http://unaaldia.hispasec.com/2005/05/lecciones-aprendidas-con-baglebeagle.html

una-al-dia (22/01/2007) El mediático troyano de la tormenta y las lecciones no aprendidas

http://unaaldia.hispasec.com/2007/01/el-mediatico-troyano-de-la-tormenta-y.html

una-al-dia (03/05/2004) Gusano Sasser: un mal menor que evidencia la falta de seguridad

http://unaaldia.hispasec.com/2004/05/gusano-sasser-un-mal-menor-que.html

una-al-dia (02/04/2009) Éxitos y fracasos de Conficker

http://unaaldia.hispasec.com/2009/04/exitos-y-fracasos-de-conficker.html

The need for urgent collective action to keep people safe online: Lessons from last week’s cyberattack

https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack/

IOCFlow
https://iocflow.com/es/

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Un ransomware ataca a múltiples compañías

Durante el día de hoy se ha conocido un ataque por un ransomware que ha afectado a Telefónica y otras grandes empresas españolas, aunque en las últimas horas se ha visto que el ataque es global y está atacando a compañías de todo el mundo. En Hispasec tenemos la muestra y la hemos analizado.

El ransomware que ha infectado y cifrado las máquinas se trata de una versión mejorada del ransomware WannaCry. Pertenece a la familia Wcry y cifra los datos sensibles del usuario. En sus versiones iniciales, los datos podían ser descifrados, sin embargo en versiones posteriores esto fue evitado por los atacantes.

En la actualidad utiliza un cifrado AES-128 para afectar a distintas extensiones de archivo, y cifra una gran cantidad de extensiones. Entre ellas, se incluyen archivos de código fuente, máquinas virtuales (.vdi, .vmdk) y correos (.eml). Señalar que si se cifran las máquinas virtuales quedarían inaccesibles.

Actualmente, los creadores del ransomware son los que distribuyen el programa para descifrar los archivos, pero únicamente previo pago de una cantidad de entre 300€ a 600€. El método de pago por supuesto, en Bitcoins. Aunque es conocido que las muestras que han afectado en la red de Telefónica solicitaban 300$ de rescate.

La nota de rescate se encuentra disponible en distintos idiomas, entre ellos los más populares para asegurarse que los usuarios de distintos países sigan las instrucciones de recuperación de archivos. La extensión de los archivos cifrados es .wncry, mientras que la nota del ransom queda como "@Please_Read_Me@". El contenido de este archivo se puede ver a continuación:

El proceso de infección está compuesto por distintas fases. En primera instancia, trata de dar permisos de administrador a todos los usuarios. Posteriormente, ejecuta un script en batch compuesto por un número aleatorio [N.ALEATORIO].bat que a su vez ejecuta un fichero .vbs. Conforme avanza la infección, se eliminan las shadow copies de manera silenciosa, así como la posibilidad de restaurar el equipo a una etapa anterior. También se borra el backup del catálogo de Windows. También localiza los ficheros a cifrar, siempre que estos pertenezcan al abanico de extensiones anteriormente mencionadas. Una vez terminado, añade entradas de registro para la ejecución del ransomware y su herramienta al iniciar el equipo:

cmd.exe /c reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "[ALEATORIO]" /t REG_SZ /d "\"C:\tasksche.exe\"" /f

Cuando este proceso finaliza, se alerta al usuario de que se han cifrado todos sus ficheros y explica cómo descifrarlos y el método de pago.

Los ataques no solo se han centrado en compañías españolas, en las últimas horas se ha confirmado que el servicio de salud inglés (NHS) se ha visto afectado por una variante similar. Hacía mucho tiempo que no se veía un ataque tan global y con tanta incidencia. Aunque las primeras informaciones se han centrado en Telefónica según ha pasado el tiempo se ha confirmado que la incidencia es global. WannaCry ya se extiende por más de 75 países. 

Como es habitual la recomendación pasa por mantener los equipos actualizados. Todo indica que para la propagación del malware por la red interna el malware emplea una vulnerabilidad en el tratamiento de mensajes SMB (Server Message Block 1.0), que quedó corregida en la actualización del boletín de Microsoft MS17-010:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

parece que confirman que han "gusanizado" el ransomware para que se propagara por redes Windows, vulnerabilidad/parche MS17-010 https://t.co/A7kYL5qRdv

— Bernardo Quintero (@bquintero) 12 de mayo de 2017

IOCs:

MD5: 84c82835a5d21bbcf75a61706d8ab549

SHA1: 5ff465afaabcbf0150d1a3ab2c2e74f3a4426467

SHA256: ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa

Authentihash: 4b2c4c7f06f5ffaeea6efc537f0aa66b0a30c7ccd7979c86c7f4f996002b99fd

MD5: 7bf2b57f2a205768755c07f238fb32cc

SHA1: 45356a9dd616ed7161a3b9192e2f318d0ab5ad10

SHA256: b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25

Authentihash: ba936082512d7f462df284097992e756bede1cae6146044f72519f8b4b4cff57

Más información:

Ataque masivo de ransomware

https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-de-ransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html

Oleada de ransomware afecta a multitud de equipos

https://www.certsi.es/alerta-temprana/avisos-seguridad/oleada-ransomware-afecta-multitud-equipos

Importante oleada de ransomware afecta a multitud de equipos

https://www.osi.es/es/actualidad/avisos/2017/05/importante-oleada-de-ransomware-afecta-multitud-de-equipos

NHS in England hit by 'cyber-attack'

http://www.bbc.com/news/health-39899646

Fernando Díaz

fdiaz@hispasec.com