Etiqueta: hackers;ciberdelincuentes

WannaCry: El Ransomware ¿o Ransomworm? de escala mundial. Protégase frente a este Ciberataque

Lo comentábamos hace poco tiempo en nuestro artículo «Las Amenazas a la Seguridad Informática de las Organizaciones es Real. PCNOVA Security & IT Defense»  y todo parece indicar que ha llegado: WannaCry es el temido Ransomware o más bien Ransomworm que «encripta y secuestra» los datos de los usuarios, pero aprovecha una vulnerabilidad de Windows para combinarse con un gusano que infecta a otros ordenadores de la red . Esta vulnerabilidad ya había sido detectada por Microsoft (Boletín de Seguridad MS17-010) y debidamente parcheada el 14 de Marzo del 2017, más muchos por desconocimiento y otros por falta de tiempo o sencillamente por descuido no la han instalado y por tanto son ALTAMENTE vulnerables a este ataque, al punto de que la recomendación es APAGAR Y DESCONECTAR LOS EQUIPOS DE LA RED en caso de observar algún comportamiento anómalo. Probablemente el malware que ha infectado al “paciente 0”, para el caso de las organizaciones,  ha llegado a través de un adjunto, una descarga aprovechando una vulnerabilidad de un ordenador. La versión del malware según los análisis es un WanaCrypt0r, una variante de WCry/WannaCry.

Noticias del mundo respecto al ataque:

El Mundo: El ciberataque con el virus WannaCry se extiende a nivel mundial
El Pais: El ataque de ‘ransomware’ se extiende a escala global
INCIBE – Instituto de Ciberseguridad: Importante oleada de ransomware afecta a multitud de equipos
CN-Cert  Centro Criptográfico Nacional: Identificado ataque de ransomware que afecta a sistemas Windows
ABC: El ciberataque afecta a varios países y es muy virulento

Quién ha sido atacado por este Malware tipo Ransomworm?

Fuente: ArsTechnica via Karpersky Lab

Lo que en un principio parecía una amenaza local en España se ha convertido en un ciberataque a nivel mundial que se ha extendido por el sistema de salud de Reino Unido y que ha afectado en distintos niveles a EEUU, Canadá, Rusia, China, Italia o Taiwan. El ataque ha aprovechado una brecha de seguridad de la que Microsoft había alertado el 14 de marzo y hasta los momentos hay constancia de que ha afectado ya a 74 países por todo el mundo.

En España fue hackeada la red interna de Telefónica y de otras grandes empresas como Iberdrola o Gas Natural y en Reino Unido el Sistema Nacional de Salud, NHS, ha confirmado esta tarde que al menos 25 hospitales y centros médicos por todo el país han sido víctimas del ciberataque. Ya en horas de la tarde de ayer viernes se habían detectado más de 57.000 (algunos hablan de 99.000) ataques por todo el globo. Otro dato interesante y que fue desvelado porp Costin Raiu de Kaspersky Lab es que el mensaje que encabeza el ciberataque esta escrito en Rumano, más al parecer no por un nativo, además «el mayor número de intentos de ciberataque se han detectado en Rusia»

Qué hace WannaCry en los dispositivos, cómo se ejecuta.

Según hemos podido investigar, el vector inicial del ataque ha seguido siendo posiblemente email tipo spam en donde se notifica de facturas, ofertas de trabajo o cualquier otro mensaje enviado a través de email. Cómo siempre, dicho correo contiene un archivo en formato comprimido .zip que al descomprimirse, ejecuta el código. Luego, el ataque se comparte a través de la red LAN usando una vulnerabilidad P2P SMB (Server Message Block protocol) conocida como ETERNALBLUE, que según algunos especialistas ejecuta otro código tipo gusano para expandirse a través de la red interna. Lo más grave es que al verse comprometido el primer dispositivo, el mismo código busca otros dispositivos en la red interna que igualmente sea vulnerables al no disponer de la actualización MS17-010 de Microsoft y «sin hacer nada» este equipo también es infectado. Luego de infectado, todos los archivos presentan la extensión .wncry, mostrando la notificación @Please_Read_Me@.txt

Jaime Blasco, director de los laboratorios de Alienvault en San Francisco, aporta más  información: El ataque ya está parado tras la difusión de un parche de Windows por parte de Microsoft. ..»Uno de los vectores de infección parece ser un exploit que consigue la ejecución de código remoto en sistemas Windows. Este exploit (llamado EternalBlue) se hizo público como parte de uno de as filtraciones de Shadowbrokers. Se recomienda aplicar todas las actualizaciones publicadas por Microsoft para parchear esta vulnerabilidad», reitera. Es, por tanto, uno de los archivos liberados en la última denuncia de Wikileaks.

Qué sistemas operativos estan siendo afectados por este ataque

  • Microsoft Windows Vista SP2
  • Windows Server 2008 SP2 and R2 SP1
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 and R2
  • Windows 10
  • Windows Server 2016

Qué soluciones debe aplicar en caso de no contar con un Soporte Técnico Informático Profesional y NO estar infectado.

Para detener la multiplicación del ataque en su red interna, debe actualizar el sistema operativo Windows con los últimos parches de seguridad ya que el malware aprovecha una vulnerabilidad para el que ya existe un parche de seguridad desde el pasado més de marzo y que podrá encontrar en la siguiente dirección: Boletín de Seguridad MS17-010 . Dicha actualización de seguridad impide que el malware se pueda propagar fácilmente por la red.

En caso de que no sea posible aplicar los parches de seguridad, se debería optar por las siguientes medidas de mitigación:

  • Aislar la red donde haya equipos infectados.
  • Aislar los equipos infectados.
  • Bloquear la comunicación de los puertos 137/UDP y 138/UDP así como los puertos 139/TCP y 445/TCP en las redes de las organizaciones.

Si observa un comportamiento errático del ordenador y que éste se reinicia abruptamente, NO INICIE EL ORDENADOR, puede ser que usted ya haya sido infectado y que al reiniciar se complete el proceso y por tanto sus archivos queden encriptados. Lo recomendable es que pueda iniciar el ordenador a través de un pendrive o un DVD con un sistema operativo arrancable y desde allí haga una copia de seguridad de los archivos antes de volver a iniciar su dispositivo, puede que así pueda salvar sus datos de ser encriptados. Esta última recomendación la hacemos sobre todo a aquellas personas que aún trabajen con SO Windows XP, dado que NO EXISTEN PARCHES PARA ESTE SISTEMA OPERATIVO, por tanto muy probablemente sean los más vulnerables y puedan infectarse próximamente. Para otros SO como Windows Vista, 7,8,8.1 y 10, si usted ha mantenido una política de actualizaciones correcta, en principio NO DEBERÍA SER UN BLANCO FÁCIL de este ataque, pero MANTÉNGASE ALERTA.

Qué soluciones debe aplicar en caso de no contar con un Soporte Técnico Informático Profesional y SI estar infectado.

En caso de que no sea posible aplicar los parches de seguridad, se debería optar por las siguientes medidas de mitigación:

– Aislar la red donde haya equipos infectados.

– Aislar los equipos infectados.

– Desactivar el servicio SMBv1.

– Bloquear la comunicación de los puertos 137/UDP y 138/UDP así como los puertos 139/TCP y 445/TCP en las redes de las organizaciones.

– Bloquear el acceso a la red de anonimato Tor.

¿Cómo recuperar los datos cifrados?

El Instituto Nacional de Ciberseguridad de España (INCIBE) a través del CERT de Seguridad e Industria (CERTSI) dispone de un servicio gratuito de análisis y descifrado de ficheros afectados por ciertos tipos de ransomware denominado Servicio Antiransomware.
Para poder identificar el tipo de virus y verificar si los datos son recuperables, sigue los pasos del siguiente artículo para ponerte en contacto: Nuevo Servicio Antiransomware, recupera el control de tu información.
Debido a que la prestación de este servicio de análisis y descifrado se realiza en colaboración con una entidad externa a INCIBE y a pesar de tener acuerdo de confidencialidad con la misma, es recomendable que los ficheros que se envíen no contengan información privada o confidencial, ya que serán compartidos con la citada entidad para su análisis.

Por último, si no lo has hecho ya, puedes poner la correspondiente denuncia de lo ocurrido ante las Fuerzas y Cuerpos de Seguridad del Estado:

Lecciones aprendidas en base al ataque de WannaCry . Cómo PCNOVA y sus Servicios SOLUCION NOVA y NOVA ADAPTIVE DEFENSE le estan ayudando contra este Ciberataque.

  • Mantenga una política de Administración de Parches: Gracias a la Solución NOVA (Standard, Premium y Platinum) mantenemos una administración remota y automática de los parches y las vulnerabilidades de Microsoft y de otros fabricantes, de esta forma los equipos monitorizados estan actualizados, contando para ello con un Servicio Gestionado desde la nube 100% garantizado, eliminando la posibilidad de que su infraestructura informática sea presa de este tipo de ataques de Malware por la no aplicación de un parche o actualización de seguridad.

 

  • Mantenga una política de copias de seguridad no sólo local, también remotas (fuera de su organización). Todas nuestras SOLUCIONES DE BACKUP GESTIONADO a través de la Solución NOVA (Standard, Premium y Platinum), cuentan con el servicio de copia de Seguridad externa a la organización en servidor seguro y con copia encriptada, además con la posibilidad de realizar un versionado de copias de seguridad, con lo cual contará con al menos 7 días hábiles de copia de seguridad (y hasta 30 días calendario) de sus archivos, lo cual le permitirá mantenerse completamente protegido respecto a un ataque de estas dimensiones, incluso podría recuperar archivos borrados o sobreescritos por accidente, al igual que estos archivos encriptados.
  • No trabaje sólo con un antivirus que le proteja en base a firmas. Algunos fabricantes de antivirus aún trabajan sólo con actualizaciones en base a firmas, ésto dificulta la protección frente a ataques de Día Cero como Wannacry. Nuestros partner de Seguridad ESET ANTIVIRUS y PANDA SECURITY no trabajan sólo con protección antivirus en base a firmas. NUESTRA EXCLUSIVA SOLUCION NOVA ADAPTIVE DEFENSE es un COMPLEMENTO PERFECTO al antivirus ya que detiene con una efectividad de hasta el 100% este tipo de ataques Zero Day.

  • Protección de Red. Cada vez se hace más críticas que la pequeña y mediana empresa este protegida contra este tipo de ataques monitorizando la red con dispositivos de Seguridad de Red. Nuestras Soluciones de Watchguard  y Stormshield Network Security le garantizan que su red esté debidamente monitorizada y protegida frente a este tipo de ataques.

Actualización de Información Sábado 13/05/2017 17:00. Microsoft decide lanzar un Parche de Actualización para SO sin soporte

Debido a la afectación que está habiendo a nivel mundial, Microsoft ha decidido publicar parches de seguridad para versiones de su sistema operativo que ya no contaban con soporte oficial como son Windows XP, Windows Server 2003 y Windows 8 a través de su Blog Oficial

Actualización de Información Lunes 15/05/2017 5:00. 10.000 Organizaciones, 200.000 infectados en 150 países y se teme que hoy Lunes crezca sustancialmente. Nueva variante de Wannacry.

Estas son las cifras y el mapa «en vivo» del Ransomware Wannacry:

Fuente: https://intel.malwaretech.com/botnet/wcrypt

Durante el fin de semana una nueva variante comenzó a emerger y fue detenida con la misma estrategia que la primera, se determinó cuál era el dominio al cuál el malware accede para descargar el agente infeccioso y se tomó control sobre el mismo. Una segunda variante ha sido detectada este domingo, pero al parecer no se ha ejecutado por un error en su programación, pero se ha desplegado. Se espera que nuevas variantes salgan a la luz en las próximas horas o días.

Se ha creado mucha información por parte de varios fabricantes y especialistas (desafortunadamente algunas de estas informaciones está en inglés). Siga los enlaces y tome nota de las recomendaciones:

MICROSOFT: Guía para clientes del ataque de Wannacrypt

TROY HUNT. MVP Microsoft. Todo lo que necesita saber acerca de WannaCry

CHEMA ALONSO. Hacker Ético. Alto responsable de Seguridad de Telefónica. El ataque de Ransomware #Wannacry

INCIBE: Actualización informativa sobre los ciberataques producidos. 

Actualización de Información Lunes 15/05/2017 12:30. El Centro Criptológico nacional ha emitido un comunicado en donde informe de una vacuna y medidas para la detección y desinfección de Wannacry

Hasta ahora se mantiene la cifra de usuarios afectados por debajo de los 200.000, se temía por un aumento en los afectados al encender los ordenadores este lunes.

El CCN-CERT ha actualizado además la vacuna para impedir la ejecución del código dañino en todos los sistemas Windows
El informe recoge el análisis preliminar de la campaña masiva que ha afectado a nivel global con varias muestras de ransomware de la familia WannaCry, que realizan un cifrado masivo de ficheros y solicitan un rescate para recuperarlos.
El CCN-CERT acaba de publicar en su portal el Informe de Código Dañino: CCN-CERT ID-17/17 Código Dañino. WannaCry, que recoge el análisis preliminar de la campaña de ransomware de la familia WannaCry, iniciada este viernes, 12 de mayo, y que realiza un cifrado masivo de ficheros para, después, solicitar un rescate para recuperarlos.

Esta variante de ransomware incorpora código para realizar la explotación de la vulnerabilidad publicada por Microsoft el día 14 de marzo descrita en el boletín MS17-010 y conocida como ETERNALBLUE. Hasta el momento todas las máquinas han sido atacadas mediante este exploit.

Vacuna para prevenir la infección

El CCN-CERT ha actualizado su herramienta desarrollada para prevenir la infección por el código dañino WannaCry 2.0. Se trata de «CCN-CERT NoMoreCry Tool«, una aplicación que impide la ejecución del malware antes de que el equipo esté infectado (la herramienta no es útil en el caso de que la máquina esté infectada).

La herramienta funciona ya en todos los sistemas operativos de Windows.

Otras medidas recomendadas por el CERT Gubernamental Nacional frente a este ransomware son las siguientes:

  • Actualizar los sistemas a su última versión o parchear según informa el fabricante
  • Se recomienda instalar el parche de seguridad de Microsoft que impide la propagación del malware al resto de la red.
  • Para los sistemas sin soporte o parche se recomienda aislar de la red o apagar según sea el caso (se recuerda que Microsoft.
  • Bloquear la comunicación a los puertos 445 y 139 en las redes de las organizaciones.
  • Establecer reglas que detecten el ataque en los sistemas NIDS.
  • Descubrir qué sistemas, dentro de su red, pueden ser susceptibles de ser atacados a través de la vulnerabilidad de Windows, en cuyo caso, puedan ser aislados, actualizados y/o apagados.

Si necesita más información o que colaboremos con usted de manera puntual o urgente frente a este Ciberataque, estamos alertas y preparados ante las necesidades de nuestros clientes .

[jotform id=»61704784792365″]

Estamos a la expectativa ante este ataque y procuraremos actualizar la información al respecto en cuanto sea posible.  Estamos convencidos de que podemos protegerle como MSP y MSSP, será un privilegio poder atender, gestionar y mejorar la seguridad de su infraestructura informática.

Ricardo González Darkin

Consultor Técnico / Especialista en Soluciones IT para Educación y la Pequeña y Mediana Empresa

Atención Empresarios. Estas son las 10 ciberamenazas más comunes. Conócelas y define tu estrategia en la seguridad de tu información.

Mucho se dice acerca de las “Ciberamenazas”. En este mundo totalmente globalizado, digitalizado e interconectado no hay descanso para esa parte digital que ahora todos llevamos con nosotros. Desde Inteco y a través de nuestra cuenta de Twitter @nogalnova nos llega este excelente resumen que nos describe de manera clara a qué nos enfrentamos en el mundo de la seguridad informática a corto plazo.

Lo más común es que creamos que “ a nosotros no nos pasa” o “yo no tengo tanta información o información importante, reservada o que pueda ser objeto de un ataque”. Pues para los que están leyendo y piensen así están muy equivocados!, si nuestra forma de pensar es esa entonces nos hemos dejado ya de por sí una capa de seguridad de nuestra información en el camino. Muchos de los ataques aquí descritos nos pueden ocurrir perfectamente: Infección a través de páginas web, Ciberhacktivistas o Ciberdelincuentes aislados pueden hacernos presa si no estamos preparados y dejamos “al azar” nuestra seguridad y la de nuestra información.

Creo que es “Responsable” hacerse eco de este tipo de documentos digitales que son “fáciles de digerir” tanto para aquellos que están en el medio de las Tecnologías de Información como para los que no, para estos últimos debe ser legible y entendible, es a ellos a quienes debemos transmitir la alerta para que no descuiden o, en todo caso, busquen en empresas como las nuestras las recomendaciones y puesta en práctica de soluciones que le permitan proteger ese activo intangible pero muy valioso: LOS DATOS.

Estas son las diez ciberamenazas más comunes

OTAN.

Robo de información crítica, suplantación de identidad, extracción de dinero o ciberespionaje gubernamental e industrial, son algunos de los más destacados por las empresas de seguridad. Ahora, Entelgy ha realizado su propio resumen de estas amenazas tomando el cuenta las más registradas el año pasado.

Según explican desde Inteco, sólo en España se registraron 54.000 ciberataques en 2013. PandaLabs daba otro dato récord de ese mismo año. En un solo año se crearon 30 millones de nuevas muestras de malware, lo que quería decir, 82.000 al día. Solo en 2013 se produjo el 20% de todo el malware registrado en la historia.

El Centro Criptológico Nacional (organismo adherido al Centro Nacional de Inteligencia) gestionó en España 7.260 ciberincidentes contra los sistemas de las Administraciones Públicas, empresas y organizaciones de interés estratégico nacional (energéticas, financieras, de seguridad y defensa, telecomunicaciones etc.).

En un mundo tan digitalizado y conectado, las estructuras son puntos claves para este tipo de ataques.

Gianluca D’Antonio, presidente de la Asociación Española de la Seguridad de la Información descataba para ABC el año pasado que la seguridad cibernética tenía que ser clave para los Estados y en España. «Nuestra visión en la Asociación Española de la Seguridad es que la ciberseguridad se tiene que convertir en un bien público, como lo es la sanidad, o la seguridad pública», dijo.

Aquí una lista con las ciberamenazas más comunes, según Entelgy.

1.- Ciberespionaje industrial: robo de información a empresas con el fin de acceder a su información más valiosa (propiedad intelectual, desarrollos tecnológicos, estrategias de actuación, bases de datos de clientes, etc.). Por ejemplo, el informe Mandiant descubrió la existencia del grupo organizado APT1 dedicado al ciberespionaje de industrias de habla inglesa claves para la economía de sus respectivos países.

2.- Ciberespionaje gubernamental: robo de información a organismos gubernamentales como la operación “Octubre Rojo” en la que se infiltraron en las redes de comunicaciones diplomáticas, gubernamentales, de investigación científica y compañías petroquímicas de alrededor de 40 países. El objetivo era obtener información sensible y credenciales de acceso a ordenadores, dispositivos móviles y equipos de red.

3.- Ciberataques a infraestructuras críticas:, como el detectado contra Aramco, la principal compañía petrolera de Arabia Saudí, que se vio sacudida por un troyano instalado en más de 30.000 ordenadores de su red. La compañía necesitó diez días para volver a la normalidad.

4.- Cibermercenarios o grupos de hackers con conocimientos avanzados, contratados para desarrollar ataques dirigidos contra un objetivo concreto, con el objetivo de conseguir la información deseada.

5.- Ciberdelincuencia contra servicios financieros, y muy especialmente, los denominados troyanos bancarios, diseñados para el robo de datos de tarjetas de crédito y cada vez más, centrados en los dispositivos móviles. Por ejemplo, en la “Operación High Roller” se vieron afectadas 60 entidades financieras de todo el mundo, víctimas de un ciberataque en el que se extrajeron 60 millones de euros. El grado de sofisticación del malware indica que fue obra del crimen organizado porque la configuración del ataque requirió inversión para el desarrollo, muchas horas de trabajo y una logística muy importante.

6.- Ciberdelincuentes aislados que venden la información obtenida al mejor postor. Un ejemplo muy sonado fue el de la cadena estadounidense de grandes almacenes Target que reconoció el robo de información de tarjetas de crédito de alrededor de 70 millones de clientes. Pocos días después, estas tarjetas estaban siendo vendidas en el mercado negro para ser clonadas y realizar compras con ellas.

7.- Ciberdelincuentes organizados o mafias que han trasladado al mundo “virtual” sus acciones en el mundo “real”. Fraude online, clonación de tarjetas de crédito, extorsión, blanqueo de capitales, etc.

8.- Infección a través de páginas web. En 2013 se detuvo al autor de Blackole, un exploit-kit (paquete que contiene programas maliciosos) que permitía explotar vulnerabilidades de webs legítimas e infectar a los usuarios que accedían a dichas páginas, millones en todo el mundo.

9.- Ciberhacktivistas: personas o grupos que, movidos por alguna ideología, intentan socavar la estructura del oponente. El ejemplo de Anonymous es paradigmático y, en estos casos, sus ataques suelen centrarse en ataques DDoS, desfiguración de páginas web o publicación de datos comprometidos.

10.- Cibersabotaje que busca dañar la reputación de una organización y por ende su funcionamiento. Prueba de ello es la actividad del Ejército Electrónico Sirio, que lleva meses atacando a todos aquellos que, en su opinión, propagan el odio y quieren desestabilizar la seguridad en Siria, incluidas grandes empresas periodísticas de todo el mundo. Llegaron a provocar incluso una caída de 150 puntos en el Dow Jones Industrial Average (índice bursátil de las 30 mayores empresas de la Bolsa de Estados Unidos), ante una noticia falsa de un atentado en la Casa Blanca difundido por Associated Press en Twitter.

Ya sabes que cuentas con PCNOVA para tus consultas y posibles recomendaciones. No lo dejes para mañana, puede ser tarde!. Consútanos a través de todos nuestros canales: http://www.facebook.com/nogalnova, @nogalnova, http://www.pcnova.es o directamente a nuestro formulario de contacto que encontrarás AQUI.

Gracias por su lectura, nos vemos en la próxima entrega.

FUENTE: ABC TECNOLOGIA. Estas son las diez ciberamenazas más comunes. 07.04.2014.

Ricardo González Darkin

Consultor / Formador / Técnico Informático Integral

PCNOVA.es

Proveedor de Servicios Informáticos Profesionales para emprendedores, Profesionales y Micro Empresas. Servicios Gestionados (Asistencia Remota – Monitorización – Backup – Seguridad), Servicios en la nube (Office 365 – Windows Intune- Windows Azure – Sala de Conferencias), Servicio Técnico Informático de Pc´s, Portátiles (Windows-Mac) y Servidores (HP-Fujitzu-Lenovo),Comunicaciones (Internet-Telefonía IP), Consultoría LOPD, Hardware y Software especializado (ClassicGes – PRIMAVERA Software)