viernes, 12 de mayo de 2017

Un ransomware ataca a múltiples compañías

Durante el día de hoy se ha conocido un ataque por un ransomware que ha afectado a Telefónica y otras grandes empresas españolas, aunque en las últimas horas se ha visto que el ataque es global y está atacando a compañías de todo el mundo. En Hispasec tenemos la muestra y la hemos analizado.

El ransomware que ha infectado y cifrado las máquinas se trata de una versión mejorada del ransomware WannaCry. Pertenece a la familia Wcry y cifra los datos sensibles del usuario. En sus versiones iniciales, los datos podían ser descifrados, sin embargo en versiones posteriores esto fue evitado por los atacantes.

En la actualidad utiliza un cifrado AES-128 para afectar a distintas extensiones de archivo, y cifra una gran cantidad de extensiones. Entre ellas, se incluyen archivos de código fuente, máquinas virtuales (.vdi, .vmdk) y correos (.eml). Señalar que si se cifran las máquinas virtuales quedarían inaccesibles.

Actualmente, los creadores del ransomware son los que distribuyen el programa para descifrar los archivos, pero únicamente previo pago de una cantidad de entre 300€ a 600€. El método de pago por supuesto, en Bitcoins. Aunque es conocido que las muestras que han afectado en la red de Telefónica solicitaban 300$ de rescate.


La nota de rescate se encuentra disponible en distintos idiomas, entre ellos los más populares para asegurarse que los usuarios de distintos países sigan las instrucciones de recuperación de archivos. La extensión de los archivos cifrados es .wncry, mientras que la nota del ransom queda como "@Please_Read_Me@". El contenido de este archivo se puede ver a continuación:


El proceso de infección está compuesto por distintas fases. En primera instancia, trata de dar permisos de administrador a todos los usuarios. Posteriormente, ejecuta un script en batch compuesto por un número aleatorio [N.ALEATORIO].bat que a su vez ejecuta un fichero .vbs. Conforme avanza la infección, se eliminan las shadow copies de manera silenciosa, así como la posibilidad de restaurar el equipo a una etapa anterior. También se borra el backup del catálogo de Windows. También localiza los ficheros a cifrar, siempre que estos pertenezcan al abanico de extensiones anteriormente mencionadas. Una vez terminado, añade entradas de registro para la ejecución del ransomware y su herramienta al iniciar el equipo:

cmd.exe /c reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "[ALEATORIO]" /t REG_SZ /d "\"C:\tasksche.exe\"" /f

Cuando este proceso finaliza, se alerta al usuario de que se han cifrado todos sus ficheros y explica cómo descifrarlos y el método de pago.

Los ataques no solo se han centrado en compañías españolas, en las últimas horas se ha confirmado que el servicio de salud inglés (NHS) se ha visto afectado por una variante similar. Hacía mucho tiempo que no se veía un ataque tan global y con tanta incidencia. Aunque las primeras informaciones se han centrado en Telefónica según ha pasado el tiempo se ha confirmado que la incidencia es global. WannaCry ya se extiende por más de 75 países. 

Como es habitual la recomendación pasa por mantener los equipos actualizados. Todo indica que para la propagación del malware por la red interna el malware emplea una vulnerabilidad en el tratamiento de mensajes SMB (Server Message Block 1.0), que quedó corregida en la actualización del boletín de Microsoft MS17-010:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

IOCs:
MD5: 84c82835a5d21bbcf75a61706d8ab549
SHA1: 5ff465afaabcbf0150d1a3ab2c2e74f3a4426467
SHA256: ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
Authentihash: 4b2c4c7f06f5ffaeea6efc537f0aa66b0a30c7ccd7979c86c7f4f996002b99fd

MD5: 7bf2b57f2a205768755c07f238fb32cc
SHA1: 45356a9dd616ed7161a3b9192e2f318d0ab5ad10
SHA256: b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25
Authentihash: ba936082512d7f462df284097992e756bede1cae6146044f72519f8b4b4cff57




Más información:

Ataque masivo de ransomware

Oleada de ransomware afecta a multitud de equipos

Importante oleada de ransomware afecta a multitud de equipos

NHS in England hit by 'cyber-attack'


Fernando Díaz



1 comentario: