Ransomware WanaCrypt0r – recomendaciones
El día viernes 12 de mayo de 2017 se dió a conocer un incidente de ciberseguridad del cual fueron víctimas algunas organizaciones en el mundo.
Se trata de un ataque sobre una vulnerabilidad “0-day” donde se registró una infección masiva de equipos a causa de un malware del tipo ransomware llamado WanaCrypt0r, una variante de WCrypt/WannaCry. Dicho software malicioso que encripta la información del sistema afectado y continúa propagándose en Internet, con el paso de las horas.
Se estima que el virus ingresa a las organizaciones por medio de un adjunto enviado por mail, el cual explota una vulnerabilidad del sistema operativo.
La infección y propagación se realiza únicamente en equipos con sistema operativo Windows, usando como vector una vulnerabilidad en el sistema de compartición de archivos y carpetas de Windows (SMB).
Dada la criticidad, se recomienda aplicar los parches de seguridad de forma urgente teniendo en cuenta que los recursos afectados son:
- Microsoft Windows Vista SP2
- Windows Server 2008 SP2 and R2 SP1
- Windows 7
- Windows 8.1
- Windows RT 8.1
- Windows Server 2012 and R2
- Windows 10
- Windows Server 2016
Se recomienda aplicar los últimos parches de seguridad que Microsoft publicó el día 10/05/2017: https://support.microsoft.com/en-us/help/4012215/march-2017-security-monthly-quality-rollup-for-windows-7-and-2008_r2.
Para más detalles sobre dicho parche de seguridad, por favor consultar: https://www.certsi.es/alerta-temprana/avisos-seguridad/boletines-seguridad-microsoft-mayo-2017.
Cabe destacar que Windows XP NO tiene un parche divulgado por Microsoft contra esta vulnerabilidad.
Además como medidas de mitigación, se recomienda:
- Aislar de la red los equipos infectados.
- Bloquear la comunicación de los puertos 137/UDP y 138/UDP así como los puertos 139/TCP y 445/TCP en las redes de las organizaciones.
- Bloquear el puerto 445 en borde de la red: Prevenir una entrada automática del ransom desde afuera de la red.
- Bloquear el puerto 445 en tráfico interno de la red: Lo anterior interrumpirá el sistema de carpetas compartidas de windows (SMB).
- Evitar abrir archivos y/o links de fuentes desconocidas ya sean recibidos por correo electrónico o descargados de sitios web no confiables.
- Realizar respaldos de toda la información crítica para su empresa.