LACNIC CSIRT

Ransomware WanaCrypt0r – recomendaciones

El día viernes 12 de mayo de 2017 se dió a conocer un incidente de ciberseguridad del cual fueron víctimas algunas organizaciones en el mundo.

Se trata de un ataque sobre una vulnerabilidad “0-day” donde se registró una infección masiva de equipos a causa de un malware del tipo ransomware llamado WanaCrypt0r, una variante de WCrypt/WannaCry. Dicho software malicioso que encripta la información del sistema afectado y continúa propagándose en Internet, con el paso de las horas.

Se estima que el virus ingresa a las organizaciones por medio de un adjunto enviado por mail, el cual explota una vulnerabilidad del sistema operativo.

La infección y propagación se realiza únicamente en equipos con sistema operativo Windows, usando como vector una vulnerabilidad en el sistema de compartición de archivos y carpetas de Windows (SMB).

Dada la criticidad, se recomienda aplicar los parches de seguridad de forma urgente teniendo en cuenta que los recursos afectados son:

  • Microsoft Windows Vista SP2
  • Windows Server 2008 SP2 and R2 SP1
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 and R2
  • Windows 10
  • Windows Server 2016

Se recomienda aplicar los últimos parches de seguridad que Microsoft publicó el día 10/05/2017: https://support.microsoft.com/en-us/help/4012215/march-2017-security-monthly-quality-rollup-for-windows-7-and-2008_r2.
Para más detalles sobre dicho parche de seguridad, por favor consultar: https://www.certsi.es/alerta-temprana/avisos-seguridad/boletines-seguridad-microsoft-mayo-2017.
Cabe destacar que Windows XP NO tiene un parche divulgado por Microsoft contra esta vulnerabilidad.

Además como medidas de mitigación, se recomienda:

  • Aislar de la red los equipos infectados.
  • Bloquear la comunicación de los puertos 137/UDP y 138/UDP así como los puertos 139/TCP y 445/TCP en las redes de las organizaciones.
  • Bloquear el puerto 445 en borde de la red: Prevenir una entrada automática del ransom desde afuera de la red.
  • Bloquear el puerto 445 en tráfico interno de la red: Lo anterior interrumpirá el sistema de carpetas compartidas de windows (SMB).
  • Evitar abrir archivos y/o links de fuentes desconocidas ya sean recibidos por correo electrónico o descargados de sitios web no confiables.
  • Realizar respaldos de toda la información crítica para su empresa.