on May 12, 2017

El ransomware ataca contundentemente el IBEX-35

Este viernes ha saltado la noticia de que el ransomware “WannaCry” se ha colado en los sistemas informáticos de algunas de las empresas del IBEX-35 aprovechando una vulnerabilidad de los sistemas Windows. El Gobierno británico por su parte, ha anunciado que un ataque mediante virus bitcoin ha afectado a gran escala a los grandes hospitales públicos del país, exigiendo a los usuarios de la red el pago de 300$ a cambio de acceso al ordenador.

El ransomware es un tipo de malware, utilizado cada vez de forma más frecuente, que secuestra los datos del usuario y exige un rescate, normalmente en bitcoins. En esencia el ransomware es un trozo de software malicioso que logra encriptar los archivos o bloquea ordenadores, y que a posteriori exige un pago a modo de rescate para lograr recuperar la normalidad. Desafortunadamente, hay poco margen para evitar tener que pagar el rescate (“ransom”) pues una vez infectado el sistema, no se puede limpiar.

La infección por ransomware WannaCry producida hoy, se ha distribuido por todas las máquinas Windows de las redes de las corporaciones afectadas. Aquí tiene los Indicadores de Compromiso (IOCs) asociados con este malware.

Desde Blueliv destacamos diferentes opciones que hubieran permitido evitar dicha infección o al menos mitigar la afectación:

  • Recopilando indicadores de compromiso compartidos en la Threat Exchange Network de Blueliv. Muchos de ellos hubieran alertado del ataque masivo producido el viernes 12 de mayo de 2017.
  • Adquiriendo ciber inteligencia artificial mediante un feed como el ofrecido por Blueliv. Este feed está basado en un motor de análisis de malware a gran escala que analiza muestras constantemente, las identifica y clasifica, extrae URLs y C&C, para finalmente compilar la información en un solo feed. Este proporciona al usuario profunda información sobre C&C, Kits de Exploit, Malware Hashes y IPs de mala reputación.
  • Hacer supervisión de aplicaciones de la organización según listas blancas estandarizadas, para bloquear o ejecutar los programas ejecutables
  • Mejorar y optimizar su sistema de copia de seguridad y restauración

Una vez producida la infección, y dependiendo del tipo de ransomware involucrado, cabe la posibilidad de que la máquina infectada se limpie. A pesar de que, en la mayoría de los casos, el cifrado utilizado para contener el ordenador infectado o el contenido es muy difícil de romper, y por tanto es difícil evitar el robo, se pueden dar los siguientes casos:

  • El ransomware tenga algún tipo de problema en su proceso por lo que, es posible que se puedan recuperar los archivos analizando el sistema de archivos o utilizando técnicas de carving
  • Hay una copia de seguridad del contenido secuestrado o del equipo
  • De alguna manera sería posible obtener una copia de la clave de cifrado usada para cifrar los archivos o mediante otras técnicas se pueden desbloquear archivos críticos de la máquina

Esperamos que esta información sea de su utilidad, y no dude en contactar con nosotros si necesita informarse acerca de cómo prevenir ataques como los acontecidos hoy.

 

Estas dos imágenes representan un ejemplo de los miles de ataques “exitosos” que han forzado a los infectados a pagar por un rescate. Se puede apreciar como a la dirección a la que se había de pagar el rescate, ha recibido entre otros, los 2 pagos que aparecen en la segunda imagen

ransomware-ataca-2

ransomware-ataca-2


Community Trial Demo