• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Un ransomware ataca a múltiples compañías

Un ransomware ataca a múltiples compañías

12 mayo, 2017 Por Hispasec 1 comentario

Durante el día de hoy se ha conocido un ataque por un ransomware que ha afectado a Telefónica y otras grandes empresas españolas, aunque en las últimas horas se ha visto que el ataque es global y está atacando a compañías de todo el mundo. En Hispasec tenemos la muestra y la hemos analizado.
El ransomware que ha infectado y cifrado las máquinas se trata de una versión mejorada del ransomware WannaCry. Pertenece a la familia Wcry y cifra los datos sensibles del usuario. En sus versiones iniciales, los datos podían ser descifrados, sin embargo en versiones posteriores esto fue evitado por los atacantes.
En la actualidad utiliza un cifrado AES-128 para afectar a distintas extensiones de archivo, y cifra una gran cantidad de extensiones. Entre ellas, se incluyen archivos de código fuente, máquinas virtuales (.vdi, .vmdk) y correos (.eml). Señalar que si se cifran las máquinas virtuales quedarían inaccesibles.
Actualmente, los creadores del ransomware son los que distribuyen el programa para descifrar los archivos, pero únicamente previo pago de una cantidad de entre 300€ a 600€. El método de pago por supuesto, en Bitcoins. Aunque es conocido que las muestras que han afectado en la red de Telefónica solicitaban 300$ de rescate.

La nota de rescate se encuentra disponible en distintos idiomas, entre ellos los más populares para asegurarse que los usuarios de distintos países sigan las instrucciones de recuperación de archivos. La extensión de los archivos cifrados es .wncry, mientras que la nota del ransom queda como «@Please_Read_Me@«. El contenido de este archivo se puede ver a continuación:

El proceso de infección está compuesto por distintas fases. En primera instancia, trata de dar permisos de administrador a todos los usuarios. Posteriormente, ejecuta un script en batch compuesto por un número aleatorio [N.ALEATORIO].bat que a su vez ejecuta un fichero .vbs. Conforme avanza la infección, se eliminan las shadow copies de manera silenciosa, así como la posibilidad de restaurar el equipo a una etapa anterior. También se borra el backup del catálogo de Windows. También localiza los ficheros a cifrar, siempre que estos pertenezcan al abanico de extensiones anteriormente mencionadas. Una vez terminado, añade entradas de registro para la ejecución del ransomware y su herramienta al iniciar el equipo:
cmd.exe /c reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v «[ALEATORIO]» /t REG_SZ /d «\»C:\tasksche.exe\»» /f
Cuando este proceso finaliza, se alerta al usuario de que se han cifrado todos sus ficheros y explica cómo descifrarlos y el método de pago.
Los ataques no solo se han centrado en compañías españolas, en las últimas horas se ha confirmado que el servicio de salud inglés (NHS) se ha visto afectado por una variante similar. Hacía mucho tiempo que no se veía un ataque tan global y con tanta incidencia. Aunque las primeras informaciones se han centrado en Telefónica según ha pasado el tiempo se ha confirmado que la incidencia es global. WannaCry ya se extiende por más de 75 países. 
Como es habitual la recomendación pasa por mantener los equipos actualizados. Todo indica que para la propagación del malware por la red interna el malware emplea una vulnerabilidad en el tratamiento de mensajes SMB (Server Message Block 1.0), que quedó corregida en la actualización del boletín de Microsoft MS17-010:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

parece que confirman que han «gusanizado» el ransomware para que se propagara por redes Windows, vulnerabilidad/parche MS17-010 https://t.co/A7kYL5qRdv

— Bernardo Quintero (@bquintero) 12 de mayo de 2017

//platform.twitter.com/widgets.js

IOCs:
MD5: 84c82835a5d21bbcf75a61706d8ab549
SHA1: 5ff465afaabcbf0150d1a3ab2c2e74f3a4426467
SHA256: ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
Authentihash: 4b2c4c7f06f5ffaeea6efc537f0aa66b0a30c7ccd7979c86c7f4f996002b99fd
MD5: 7bf2b57f2a205768755c07f238fb32cc
SHA1: 45356a9dd616ed7161a3b9192e2f318d0ab5ad10
SHA256: b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25
Authentihash: ba936082512d7f462df284097992e756bede1cae6146044f72519f8b4b4cff57


Más información:

Ataque masivo de ransomware
https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-de-ransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html
Oleada de ransomware afecta a multitud de equipos
https://www.certsi.es/alerta-temprana/avisos-seguridad/oleada-ransomware-afecta-multitud-equipos
Importante oleada de ransomware afecta a multitud de equipos
https://www.osi.es/es/actualidad/avisos/2017/05/importante-oleada-de-ransomware-afecta-multitud-de-equipos
NHS in England hit by ‘cyber-attack’
http://www.bbc.com/news/health-39899646
Fernando Díaz
fdiaz@hispasec.com

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware

Interacciones con los lectores

Comentarios

  1. FlorenDguez dice

    13 mayo, 2017 a las 7:25 am

    Se sabe cómo ha sido la infección?

    Responder

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Las apps de mensajería y videoconferencia te escuchan incluso cuando estás "muteado"
  • ¿Qué es DMARC? La necesidad de la protección del correo electrónico

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR