Análisis de malware
A4 Black Friday: Ataque masivo de ransomware aprovechando Wannacry Hit Systems en todo el mundo
15 de mayo de por Admin
El ransomware WannaCry afecta a los ordenadores Windows de todo el mundo
Un ataque masivo malicioso basado en ransomware apareció en los titulares el viernes, dirigiéndose primero a hospitales del Reino Unido y bancos españoles antes de extenderse rápidamente por todo el mundo. La noticia fue rápidamente confirmada por la empresa española de telecomunicaciones Telefónica, una de las numerosas víctimas del ataque de ransomware. El diario El País también informó del ataque masivo , mientras que expertos de Telefónica confirmaron que los sistemas de su intranet habían sido infectados y agregaron que la situación estaba bajo control. Los servicios de telefonía fija y móvil prestados por Telefónica no se vieron afectados por el ataque basado en ransomware.
El CERT español emitió una alerta advirtiendo a las organizaciones y confirmó que el malware se estaba propagando rápidamente.
El ransomware, denominado WannaCry (también conocido como Wcry, WanaCrypt, WannaCrypt), se dirigió a muchas otras empresas en España y en todo el mundo, incluidas Vodafone, FedEx y otras infraestructuras críticas.
El Reg informó que el malware eliminó 6 fideicomisos de salud del NHS en el Reino Unido. Según la primera ministra, Theresa May, el ransomware «ha paralizado» los hospitales del Reino Unido; el representante del Gobierno confirmó además que la situación estaba controlada por la agencia de inteligencia GCHQ.
El NHS enfrentó serios problemas debido a la naturaleza anticuada de su infraestructura de TI, que todavía incluye una gran cantidad de sistemas que ejecutan sistemas Windows XP.
«Las computadoras estaban bloqueadas en Aintree, Blackpool, el Hospital Broomfield en Essex, el Hospital General de Colchester, todos los sistemas hospitalarios en Derbyshire, Great Yarmouth, East y North Hertfordshire, el Hospital James Paget en Norfolk, Lanarkshire y Leicester». Informó El Reg.
1: una computadora infectada por el ransomware WannaCry
Los expertos de la empresa de seguridad Avast detectaron más de 75.000 ataques en 99 países, la mayoría de las infecciones se observaron en Rusia, Ucrania y Taiwán.
Un mapa en tiempo real de las infecciones está disponible en la siguiente dirección:
https://intel.malwaretech.com/botnet/wcrypt/?t=5mbid=all
2: Mapa de infecciones en tiempo real
Fuente Arstechnica
Un ransomware que aprovecha los exploits NSA EternalBlue y DoublePulsar
El ransomware WannaCry aprovecha los dos exploits de la NSA, EternalBlue y DoublePulsar, para infectar computadoras y propagar la amenaza a cualquier otro sistema Windows conectado en la misma red.
Investigadores de Kaspersky Lab han confirmado que el ataque WannaCry» se inicia mediante la ejecución remota de código SMBv2 en Microsoft Windows.
«Es importante comprender que, si bien las computadoras Windows sin parches que exponen sus servicios SMB pueden ser atacadas remotamente con el exploit «EternalBlue» e infectadas por el ransomware WannaCry, la falta de existencia de esta vulnerabilidad en realidad no impide que el componente del ransomware funcione. Sin embargo, la presencia de esta vulnerabilidad parece ser el factor más importante que causó el brote», informó el análisis de Kaspersky.
Los expertos destacaron las capacidades cálidas de la red que permiten que el código malicioso se propague rápidamente.
«La especial criticidad de esta campaña se debe a la explotación de la vulnerabilidad descrita en el boletín MS17-010 utilizando EternalBlue / DoublePulsar , que puede infectar otros sistemas Windows conectados en la misma red que no estén correctamente actualizados. La infección de un solo ordenador puede acabar comprometiendo toda la red corporativa.» Así lo indica la alerta de seguridad emitida por el CERT español.
«El ransomware, una variante de WannaCry, infecta la máquina cifrando todos sus archivos y, aprovechando la vulnerabilidad mencionada en el párrafo anterior que permite la ejecución de comandos remotos a través de Samba (SMB) y se distribuye a otras máquinas Windows en esa misma red. «.
La puerta trasera DOUBLEPULSAR permite a los atacantes inyectar y ejecutar código malicioso en un sistema objetivo; se instala aprovechando ETERNALBLUE , un exploit SMBv1 (Server Message Block 1.0) que podría desencadenar un RCE en versiones anteriores de Windows (de Windows XP a Server R2).
El ransomware WannaCry se propaga a través de SMB, cifra los archivos en las máquinas infectadas y cobra $300 o $600 en Bitcoin para restaurarlos.
El ransomware puede cifrar una amplia variedad de documentos en las máquinas infectadas, también ataca documentos almacenados en cualquier almacenamiento adjunto y arrebata las claves para el acceso al escritorio remoto. El malware elimina instantáneas de volúmenes y desactiva las herramientas de reparación del sistema para hacer imposible la recuperación de archivos.
Los expertos observaron que el malware determina el idioma de la víctima para mostrar una demanda de rescate en el idioma correcto.
Los expertos en seguridad del equipo CISCO Talos han publicado un análisis detallado sobre el ransomware WannaCry.
A continuación el proceso de infección completo descrito en el análisis publicado por los expertos del equipo de Talos:
«Se coloca un archivo inicial mssecsvc.exe y ejecuta el archivo taskche.exe. Luego se verifica el dominio del interruptor de interrupción. A continuación, se crea el servicio mssecsvc2.0. Este servicio ejecuta el archivo mssecsvc.exe con un punto de entrada diferente al inicial ejecución. Esta segunda ejecución verifica la dirección IP de la máquina infectada e intenta conectarse al puerto 445 TCP de cada dirección IP en la misma subred. Cuando el malware se conecta exitosamente a una máquina, se inicia una conexión y se transfieren los datos. Creo que este tráfico de red es una carga útil de explotación. Se ha informado ampliamente que se trata de una explotación de vulnerabilidades reveladas recientemente y abordadas por Microsoft en el boletín MS17-010.. Actualmente no tenemos una comprensión completa del tráfico de las PYMES ni exactamente qué condiciones deben darse para que se propague utilizando este método», afirma el análisis.
«El archivo taskche.exe busca unidades de disco, incluidos recursos compartidos de red y dispositivos de almacenamiento extraíbles asignados a una letra, como ‘C:/’, ‘D:/’, etc. Luego, el malware busca archivos con una extensión de archivo como se indica en la lista. en el apéndice y los cifra utilizando cifrado RSA de bits. Mientras se cifran los archivos, el malware crea un nuevo directorio de archivos ‘Tor/’ en el que coloca tor.exe y nueve archivos dll utilizados por tor.exe. elimina dos archivos más: taskdl.exe y taske.exe. El primero elimina archivos temporales mientras que el segundo inicia @wanadecryptor@.exe para mostrar la nota de rescate en el escritorio al usuario final. El @wanadecryptor@.exe no está en y de por sí el ransomware, sólo la nota de rescate. El cifrado se realiza en segundo plano mediante taskche.exe.»
Los expertos que quieran analizar el ransomware WannaCry pueden encontrar ejemplos en el siguiente repositorio de GitHub:
https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168
la página incluye información útil, como las direcciones de las carteras de Bitcoin para el malware.
El ransomware dirige a las víctimas a una página que muestra un código QR en btcfrog, que vincula a la billetera bitcoin principal del atacante 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 .
3: La página de pago muestra el código QR
A continuación, hallazgos clave de la amenaza:
- Nombre del virus : WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY
- Vector : Todas las versiones de Windows anteriores a Windows 10 son vulnerables si no se parchean para MS-17-010. Utiliza EternalBlue MS17-010 para propagarse.
- Rescate : entre $300 y $600. Hay un código para ‘rm’ (eliminar) archivos en el virus. Parece reiniciarse si el virus falla.
- Puerta trasera : el gusano recorre cada sesión RDP en un sistema para ejecutar el ransomware como ese usuario. También instala la puerta trasera DOBLEPULSAR. Daña los volúmenes ocultos para dificultar la recuperación. (fuente: Malwarebytes)
- Kill switch : si el sitio web www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com está activo, el virus sale en lugar de infectar el host. (fuente: Malwarebytes). Este dominio ha sido sumergido, deteniendo la propagación del gusano.
Una muestra descifrada del ransomware WannaCry está disponible aquí :
https://transfer.sh/ZhnxR/CYBER1be0b96d502c268cb40da97a16952d89674a9329cb60bac81a96e01cf7356830.EXE
El interruptor de apagado
Unas horas después de los ataques masivos, los expertos en seguridad comenzaron a analizar el código malicioso después de una ingeniería inversa de las muestras del malware disponibles en la naturaleza. La buena noticia que surgió de la primera investigación es que los investigadores de malware descubrieron un interruptor de apagado en el código del ransomware, una condición que podría detener la ejecución del código cuando coincida.
4: Tweet de Kevin Beaumont sobre el interruptor de apagado
Los expertos del Reino Unido en MalwareTechBlog registraron el dominio después de realizar una ingeniería inversa del código.
El dominio Kill Switch es iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com; el dominio fue bloqueado por las fuerzas del orden. A un servidor en California, y se notificará a los administradores de los sistemas infectados que se comuniquen con las puntocom, según nos dicen. «Las direcciones IP de nuestro sumidero han sido enviadas al FBI.
5 – Dominio Kill Switch
Debajo de los mensajes que se muestran cuando una máquina intenta conectarse:
«Las direcciones IP de nuestro sumidero se han enviado al FBI y a ShadowServer , por lo que las organizaciones afectadas deberían recibir una notificación pronto», dijo el investigador. El organismo de InfoSec admitió que primero registraron el dominio y luego se dieron cuenta de que era un interruptor de apagado. Aun así, trabajo hecho.»
Los expertos del grupo CISCO Talos realizaron un interesante análisis del ransomware WannaCry.
«WannaCry no parece estar aprovechando sólo los módulos ETERNALBLUE asociados con este marco de ataque; simplemente está escaneando servidores accesibles en busca de la presencia de la puerta trasera DOUBLEPULSAR. En los casos en los que identifica un host al que se le ha implantado esta puerta trasera, simplemente aprovecha la funcionalidad de puerta trasera existente disponible y la utiliza para infectar el sistema con WannaCry». lee el análisis de Talos. «En los casos en los que el sistema no haya sido previamente comprometido e implantado con DOUBLEPULSAR, el malware utilizará ETERNALBLUE para la explotación inicial de la vulnerabilidad SMB. Esta es la causa de la actividad similar a un gusano que se ha observado ampliamente en Internet».
Microsoft ha publicado un aviso de seguridad para la amenaza y un parche de emergencia para Windows XP .
El gigante de TI lanzó parches de seguridad de emergencia para Windows Server (SP2 x64/x86); Windows XP (SP2 x64, SP3 x86); Windows XP integrado (SP3, x86); así como las versiones de 32 y 64 bits de Windows 8.
Conclusiones
Se deben considerar cuidadosamente los siguientes aspectos del ataque masivo de ransomware:
- Este ataque demuestra los riesgos relacionados con la militarización del ciberespacio . El malware, los códigos de explotación y las herramientas de piratería desarrolladas por agencias de inteligencia y gobiernos pueden ser muy peligrosos cuando están fuera de control.
- El éxito del malware se debe a la postura de seguridad incorrecta de las víctimas que no tienen conocimiento de la amenaza y que no aplicaron los parches de seguridad lanzados por Microsoft.
- La infraestructura crítica moderna no es resistente a los ciberataques.
Referencias
http://securityaffairs.co/wordpress/59072/cyber-crime/wannacry-ransomware-kill-switch.html
http://securityaffairs.co/wordpress/59057/cyber-crime/massive-attack-wannacry-ransomware.html
http://tecnologia.elpais.com/tecnologia//05/12/actualidad/1494585889_857386.html
https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Ransom:Win32/Wannacrypt.A!rsm
https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/
https://blog.avast.com/ransomware-that-infected-telefonica-and-nhs-hospitals-is-spreading-aggressively-with-over-50000-attacks-so-far-today?ref=cjutm_medium=affiliateutm_source= comisiónjunción
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
https://www.theregister.co.uk//05/13/wannacrypt_ransomware_worm/