WannaCrypt (también conocido como WannaCry) comenzó a propagarse el 12 de mayo de 2017 a las 07:44 UTC al instalar ransomware en computadoras afectadas por CVE-2017-0145, una vulnerabilidad presente en la versión 1 de la implementación de Microsoft Server Message Block (SMBv1). En las primeras 48 horas de la campaña, WannaCrypt afectó a casi 100 000 máquinas, la mayoría (85 %) de sistemas de consumo en Taiwán, Rusia y Estados Unidos. Esta amenaza afectó principalmente a máquinas que ejecutan versiones anteriores de Windows como Windows 7 y Windows Server 2008.

Las máquinas infectadas con WannaCrypt pueden volverse inútiles. Microsoft recomienda restaurar estas máquinas a partir de copias de seguridad en lugar de comprar claves de cifrado de los atacantes.

Para permanecer protegidos, los clientes deben aplicar las actualizaciones de seguridad descritas en el boletín de seguridad de Microsoft MS17-010. Los clientes de Windows XP, Windows Server 2003 y Windows 8 pueden aplicar una actualización fuera de banda descrita en KB4012598. Habilitar Windows Defender Antivirus con protección en la nube y actualizaciones automáticas debería prevenir la infección.

NOTA: La información de estado y la recomendación de mitigación proporcionada con esta entrada cubren las vulnerabilidades que se encuentran solo en Windows.

WannaCrypt ya estaba activo antes de la campaña de mayo de 2017. En los primeros ataques, el grupo de actividad ZINC obtuvo acceso a las máquinas de las víctimas a través de métodos desconocidos, instaló una puerta trasera y usó la puerta trasera para eliminar WannaCrypt. Sin embargo, a las 07:44 UTC del 12 de mayo de 2017, una nueva versión de WannaCrypt comenzó a propagarse a través de las redes locales e Internet al explotar una vulnerabilidad (CVE-2017-0145) en la versión 1 de la implementación del bloque de mensajes del servidor de Microsoft (SMBv1).

Después de una explotación exitosa, el componente del gusano WannaCrypt instala una copia de sí mismo en el host remoto en la ruta C:\WINDOWS\mssecsvc.exe. Mientras esta nueva instancia continúa encontrando y explotando víctimas, instala una copia del componente ransomware WannaCrypt, en la ruta C:\WINDOWS\tasksche.exe. Para mantener la persistencia, el componente del gusano establece claves de registro de ejecución automática para los componentes del gusano y el ransomware y registra ambos como servicios.

El componente ransomware de WannaCrypt busca unidades de disco con letras, como recursos compartidos de red y dispositivos de almacenamiento extraíbles, y utiliza una utilidad nativa de Windows conocida como ICACLS para obtener acceso a todos los archivos en todas las unidades descubiertas. Luego busca todos los archivos cuyos nombres contienen una lista de extensiones codificadas (como .ppt, .docx y .jpg) y los cifra. Después de eso, el malware elimina las instantáneas de volumen y las copias de seguridad usando las herramientas nativas de Windows Vssadmin, WMIC, BCDEdit y WBAdmin usando el siguiente comando:

Cmd /c vssadmin delete shadows /all /quiet
& wmic shadowcopy delete & bcdedit /set
{predeterminado} bootstatuspolicy ignoreallfailures
& bcdedit /set {predeterminado} recoveryenabled no
& wbadmin delete catalog -quiet

El ransomware WannaCrypt también suelta un conjunto de archivos de "soporte", incluidas copias de la nota de rescate en varios idiomas, una imagen de mapa de bits que reemplaza el fondo del escritorio para proporcionar instrucciones al usuario y la aplicación de enrutamiento Tor para permitir la comunicación anónima entre la víctima y agresor. Finalmente, muestra una nota de rescate.

En este punto, es bastante difícil para los usuarios recuperar sus archivos sin pagar el rescate.

Durante las etapas iniciales de la infección, algunas variantes de WannaCrypt intentaron conectarse a sitios web remotos:

• iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
• ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com
• ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com
• iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Estos dominios no eran de mando y control, sino que actuaban como interruptores de apagado". Si WannaCrypt golpea un dominio que ha sido registrado, automáticamente detiene más infecciones. Este comportamiento se descubrió cuando un investigador de seguridad registró los dominios para rastrear la propagación del malware; posteriormente También se perforaron dominios.

La propagación del brote se contuvo aún más cuando Microsoft lanzó parches fuera de banda para CVE-2017-0145 para Windows XP y Windows Server 2003, lo que permitió a los usuarios de estos sistemas operativos obsoletos protegerse de WannaCrypt. Sin embargo, las versiones posteriores de WannaCrypt no cuentan con la funcionalidad de "interruptor de interrupción", y muchos usuarios aún no aplican los parches para CVE-2017-0145, lo que da como resultado que se informen miles de encuentros de WannaCrypt cada mes.

Impacto
La campaña de WannaCrypt no se centró en ninguna demografía específica de los clientes, sino que se centró aleatoriamente en los equipos del espacio de direcciones IPv4. Cualquier equipo de destino que estuviera usando la versión 1 de la implementación SMBv1 (Microsoft Server Message Block) y estuviera expuesto a Internet podría haberse infectado. Este grupo demográfico estaba compuesto principalmente por usuarios de versiones anteriores de Windows, en particular Windows 7 (82 %) y Windows Server 2008 (18 %).

Las computadoras infectadas por WannaCrypt se convirtieron en plataformas de lanzamiento para ataques posteriores contra direcciones IP externas y computadoras vulnerables dentro de la misma organización. Cuando WannaCrypt cifró los archivos, las computadoras infectadas se volvieron inútiles, aunque lo suficientemente operativas como para que las víctimas pudieran aprender y pagar el rescate. El impacto exacto de WannaCrypt varió de una organización a otra, pero en casos extremos resultó en una degradación severa de los procesos críticos. Por ejemplo, las organizaciones médicas no podían procesar a nuevos pacientes; otras empresas no pudieron procesar los pedidos.

Distribución de encuentros de WannaCrypt

Mitigaciones
Aplique estas mitigaciones para reducir el impacto de esta amenaza. Consulte la tarjeta de aviso para conocer el estado de implementación de las mitigaciones monitoreadas.

• Use aislamiento basado en hardware, proporcionado por Windows Defender System Guard, y funciones de protección contra vulnerabilidades en Windows 10. Estas funciones proporcionan una mitigación estratégica de las técnicas de explotación de EternalBlue.
• Para abordar las vulnerabilidades explotadas por EternalBlue, instale las actualizaciones de seguridad proporcionadas con el Boletín de seguridad de Microsoft MS17-010, publicado el 14 de marzo de 2017. El Boletín de seguridad de Microsoft MS17-010 está disponible para versiones no compatibles de Windows (incluidos Windows XP, Windows Server 2003, y Windows 8) en un parche fuera de banda, KB4012598, lanzado el 13 de mayo de 2017.
• Use el Firewall de Windows Defender, los dispositivos de prevención de intrusiones y el firewall de la red para evitar la comunicación SMB siempre que sea posible.

 Más de un año después de que el ransomware WannaCrypt (también conocido como "WannaCry") estallara y afectara a miles de computadoras con la ayuda del exploit EternalBlue, todavía vemos todo tipo de actividades de ataque que se aprovechan de este exploit. Además de los encuentros reales de WannaCrypt, muchos sensores informan ataques dirigidos diseñados para implementar puertas traseras, así como ataques de productos básicos, la mayoría de los cuales ahora entregan mineros de monedas.

Varias máquinas que ejecutan Windows Server 2016 informan actividad posiblemente vinculada a un ataque que se sabe que comienza al explotar CVE-2017-10271, una vulnerabilidad que afecta a Oracle Weblogic Server. Luego, el ataque usa scripts de PowerShell para descargar el minero de monedas, antes de distribuir los componentes lateralmente usando EternalBlue. Encontramos indicadores obvios usando EternalBlue que podrían ser parte de este ataque. También estamos viendo múltiples conexiones desde las mismas máquinas afectadas a direcciones IP en China, Rusia y direcciones IP de Microsoft en los puertos SMB 445 y 139.

En breve:

• Los atacantes continúan usando el exploit EternalBlue que afecta varias vulnerabilidades SMBv1 (CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0147 y CVE-2017-0148).
• Los ataques de productos básicos que utilizan el exploit EternalBlue están acabando con los mineros de monedas.
• Otros ataques parecen estar dirigidos y diseñados para desplegar puertas traseras.
• Algunos ataques llegan aprovechando CVE-2017-10271, una vulnerabilidad que afecta a Oracle Weblogic Server. Luego se usa EternalBlue para moverse lateralmente.

NOTA: El estado de mitigación y la información de asesoramiento proporcionada con esta entrada cubre las vulnerabilidades encontradas solo en Windows.

Mitigaciones

• Utilice funciones de protección contra vulnerabilidades y aislamiento basado en hardware en Windows 10. Estas funciones proporcionan una mitigación estratégica de las técnicas de explotación de EternalBlue.
• Para abordar las vulnerabilidades explotadas por EternalBlue, instale las actualizaciones de seguridad proporcionadas con el Boletín de seguridad de Microsoft MS17-010, publicado el 14 de marzo de 2017. El Boletín de seguridad de Microsoft MS17-010 está disponible para versiones no compatibles de Windows (incluidos Windows XP, Windows Server 2003, y Windows 8) en el parche fuera de banda KB4012598, enviado el 13 de mayo de 2017.
• Utilice Microsoft Defender Firewall, dispositivos de prevención de intrusiones y su firewall de red para evitar la comunicación SMB siempre que sea posible.