WannaCry: el gusano del ransomware que no llegó a un gancho phishing

Cuatro días después de que WannaCry secuestró 200.000 computadoras en 150 países, SophosLabs ha determinado que esto probablemente no se inició de la misma forma que un ataque de ransomware típico, ya que un correo electrónico de phishing con un enlace o vínculo malicioso es engañado. También parece que las primeras infecciones fueron en Asia sudoriental.

Los investigadores asumieron desde el principio que el brote comenzó con un enlace de correo electrónico o un archivo adjunto, pero el vicepresidente de SophosLabs, Simon Reed, dijo que esto parece un gusano de principio a fin:

No había archivos outlook.exe en ningún lado, nada más que un controlador SMB de Windows comprometido como punto de partida. Hasta ahora, no hemos encontrado nada más que la evidencia de un gusano de red.

En otras palabras, este brote fue un retroceso a los de principios de los años 2000 . Sólo que esta vez, en lugar de mero ruido y el tiempo de inactividad de la red, una carga útil mucho más perjudicial de ransomware tierra muchas organizaciones a un alto .

Lo que sigue son detalles adicionales de la investigación de SophosLabs.

Un asalto en tres frentes

La investigación reveló un ataque de tres etapas, comenzando con la ejecución remota de código y el malware obteniendo privilegios de usuario avanzados. A partir de ahí, la carga útil se desempacó y se ejecutó. Una vez que las computadoras fueron secuestradas, encriptó documentos y mostró notas de rescate.

El análisis parece confirmar que el ataque del viernes fue lanzado utilizando el supuesto código NSA filtrado por un grupo de hackers conocidos como los Shadow Brokers. Utilizó una variante de APT EternalBlue Exploit de Shadow Brokers (CC-1353) y utilizó cifrado fuerte en archivos como documentos, imágenes y videos. También fue después de los servidores, tratando de cifrar las bases de datos del servidor SQL y archivos de datos de Microsoft Exchange.

Hubo tres factores clave que causaron que este ataque se propagara tan rápidamente:

  1. La inclusión de código que hizo que la amenaza se propagara a través de las redes como un gusano rápidamente sin necesidad de más acción del usuario después de la infección inicial había tenido lugar.
  2. Se aprovechó de una vulnerabilidad que muchas organizaciones no habían remendado. Patching sistemas operativos es la primera línea de una estrategia de seguridad, sin embargo, muchos todavía luchan para lograr actualizaciones regulares a través de sus entornos.
  3. Las organizaciones siguen ejecutando Windows XP. Microsoft había descontinuado el soporte para Windows XP y no había publicado un parche para este sistema, pero posteriormente emitió un parche para Windows XP a la luz de este ataque. Microsoft admite versiones anteriores de Windows, pero a un costo adicional.

Como hemos señalado anteriormente, el ataque explotó una vulnerabilidad de Windows que Microsoft había lanzado un parche en marzo. Esa falla estaba en el servicio de bloque de mensajes de servidor de Windows (SMB), que los equipos con Windows utilizan para compartir archivos e impresoras en redes locales. Microsoft abordó el tema en su boletín MS17-010 .

El gusano generó direcciones IP aleatorias, como muestra el siguiente fragmento de código. Una vez definidas las direcciones IP, el gusano envía paquetes SMB maliciosos al host remoto, propagándose por sí mismo.

A partir de ahí, los archivos de los ordenadores secuestrados fueron encriptados y notas de rescate como esta aparecieron en las pantallas de las víctimas:

Donde comenzaron las infecciones

La investigación de SophosLabs indica que las primeras infecciones aparecieron el viernes en India, Hong Kong y Filipinas. Las conclusiones del origen del sudeste asiático están en sintonía con las de otras organizaciones de investigación, como Nominum. Yuriy Yuzifovich, jefe de la ciencia de datos y la investigación de seguridad, y Yohai Einav, principal investigador de seguridad, escribió en su página web:

Nuestra primera evidencia para WannaCry fue encontrada a las 7:44 am UTC, cuando un cliente de un ISP en el sureste de Asia golpeó el dominio de kill-switch de WannaCry (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] Com). En las horas siguientes, identificamos a miles de clientes infectados por WannaCry, procedentes de una amplia variedad de países y proveedores de servicios de Internet, intentando comunicarse con el dominio.

Recuento de rescate

Durante el fin de semana, las cuentas creadas para recaudar pagos de rescate habían recibido cantidades menores de las esperadas para un ataque de este tamaño. Pero el lunes por la mañana, los saldos estaban en aumento, lo que sugiere que más personas estaban respondiendo al mensaje de rescate el lunes. El sábado, tres carteras relacionadas con el ransomware habían recibido 92 pagos bitcoin por un total de $ 26,407.85 USD. Para el domingo, el número entre las tres carteras era de hasta $ 30,706.61 USD. Para el lunes por la mañana, 181 pagos habían sido hechos totalizando 29.46564365 BTC ($ 50.504.23 USD).

Las tres carteras bitcoin habían recibido 253 pagos por un total de 41.78807332 BTC ($ 71.647,06 USD) por la tarde del martes.

Defensas de gusanos

Con el regreso de brotes de gusanos de la vieja escuela como este, vale la pena revisar los pasos que los usuarios pueden tomar para evitar la infección. Desafortunadamente, algunos de esos pasos han resultado impopulares, como John Dunn de Naked Security escribió ayer. Los administradores pueden bloquear servicios o puertos a nivel de firewall, pero no a menudo indefinidamente. Suspender el correo electrónico es otra táctica que funciona hasta que todo el mundo se queja.

El mejor consejo sigue siendo el mismo que cuando el brote comenzó:

Para protegerse contra el malware que explota vulnerabilidades de Microsoft:

  • Manténgase al tanto de todos los lanzamientos de parches y aplíquelos rápidamente.
  • Si es posible, sustituya los sistemas Windows antiguos por las versiones más recientes.

Y puesto que la carga útil del gusano era ransomware, un recordatorio sobre las defensas para eso está en orden:

  • Realice copias de seguridad periódicamente y mantenga una copia de seguridad reciente fuera del sitio. Hay docenas de maneras diferentes de ransomware que los archivos pueden desaparecer repentinamente, como incendio, inundación, robo, una computadora portátil caída o incluso una eliminación accidental. Cifrar su copia de seguridad y no tendrá que preocuparse por el dispositivo de copia de seguridad caer en las manos equivocadas.
  • Tenga cuidado con los archivos adjuntos no solicitados. Los ladrones están confiando en el dilema de que no debe abrir un documento hasta que esté seguro de que es uno que desea, pero no se puede saber si es uno que desea hasta que lo abra. En caso de duda, déjalo fuera.
  • Utilice Sophos Intercept X y, para usuarios domésticos (no comerciales ), inscríbase en Sophos Home Premium Beta , que detiene el ransomware en sus pistas al bloquear el cifrado no autorizado de los archivos.