El pasado viernes 13 de Mayo se produjo un importante ciberataque a escala mundial que afectó a numerosas empresas y Administraciones Públicas. Según el comunicado oficial de CERTSI“Se está produciendo una infección masiva a nivel mundial de equipos tanto personales como en organizaciones, por un malware del tipo ransomware que tras instalarse en el equipo, bloquea el acceso a los ficheros del ordenador afectado pidiendo un rescate. Así mismo, podría infectar al resto de ordenadores vulnerables de la red“. Por este motivo queremos compartir una serie de recomendaciones que ayuden a mitigar y prevenir este tipo de soluciones:
En esta ocasión, el añadido respecto al ransomware “tradicional” es, que se aprovecha de una vulnerabilidad de equipos Windows en el protocolo SMBv1 que permite una propagación inmediata a los equipos a los que tenga acceso (habitualmente equipos en la LAN) y que tengan el protocolo habilitado. Probablemente, el malware que ha infectado al “paciente 0”, para el caso de las organizaciones, ha llegado a través de un adjunto y al realizarse la descarga éste ha infectado el equipo aprovechando otra vulnerabilidad. La versión del malware según los análisis es un WannaCrypt0r, una variante de WCry/WannaCry.
1. Aplicar los últimos parches de seguridad publicados por Microsoft
A pesar de que Microsoft había publicado con fecha 14 de marzo la actualización para parchear esta vulnerabilidad, la mayoría de los sistemas no habían llegado a incorporarlos, quizás debido a los riesgos que esta tarea puede tener en entornos de producción. Para las versiones de sistemas operativos que ya no contaban con soporte oficial como Windows XP, Windows Server 2003 y Windows Server 2008, Microsoft publicó los parches el pasado 13 de mayo a través de su Blog Oficial.
En caso de que no sea posible aplicar los parches de seguridad, se debería optar por las siguientes medidas de mitigación:
- Aislar la red donde haya equipos infectados.
- Aislar los equipos infectados.
- Desactivar el servicio SMBv1, en los servidores y en los clientes
- Bloquear la comunicación de los puertos 137/UDP y 138/UDPasí como los puertos 139/TCP y 445/TCP en las redes de las organizaciones.
- Bloquear el acceso a la red de anonimato Tor.
2. Adicionalmente, y aunque pueda parecer una obviedad, se recomienda actualizar el antivirus. Los principales antivirus ya están actualizando las firmas para poder parar este ataque.
3. Como último punto cabe decir que desgraciadamente esto no ha acabado aquí. En las próximas semanas veremos nuevos ataques (wannacry2.0 o de cualquier otra variante) de naturaleza similar, pero posiblemente haciendo uso de cualquier otra vulnerabilidad que pueda surgir. El problema reside en que las soluciones de seguridad de endpoint basadas en firmas siempre van por detrás de estos piratas, y por tanto cualquier modificación al virus original nos haría vulnerables.
Ante esta situación recomendamos utilizar software de seguridad de endpoint, basado en comportamiento en lugar de firmas, de manera que, cuando se detecte un proceso que intente encriptar los ficheros de forma masiva, lo bloquee (independientemente de que sea un ataque conocido o no). Esto hará que estemos cubiertos ante amenazas que usen estos vectores de ataque.
Los software mas reconocidos son TRAPS de PaloAlto, o InterceptX de Sophos.
