Respuesta oficial de Cisco ante WannaCry (ransomware)


Como es de público conocimiento, el Viernes 12 de Mayo comenzó a propagarse un ataque masivo de Ransomware que ya habría afectado a 75,000 usuarios en 99 países, incluyendo a varios en Latinoamérica. En consecuencia, muchas organizaciones en todo el mundo están sufriendo este ataque dentro de las cuales se encuentran Telefonica en España, el National Health Service en Reino Unido, y Fedex en Estados Unidos de América. El malware responsable por este ciberataque es una variante de ransomware conocido como “WannaCry” (o alternativamente WCry o Wanna Decryptor)

 

ransomware

 

 

El siguiente artículo de la BBC se refiere al incidente y detalla el impacto operativo en compañías de múltiples industrias (telecomunicaciones, salud, automotrices, energía, logística y transporte, entre otras). A modo ilustrativo de la criticidad del ataque, un paciente del sistema de salud afectado en Reino Unido tuvo su cirugía cardíaca cancelada por causa del incidente de ransomware. 

http://www.bbc.com/news/technology-39901382

 

Características de WannaCry

El malware tiene la capacidad de hacer un escaneo intenso sobre los puertos TCP 445 (comúnmente usado para tener acceso remoto a través de la red y permitir comunicaciones entre aplicaciones), para después esparcirse de manera similar a un “worm”, comprometiendo usuarios, cifrando la información contenida en ellos, para después demandar un pago de extorsión en la forma de Bitcoins.

 

Craig Williams, especialista de seguridad y vocero de Cisco Talos, comenta “este malware es poderoso e insidioso (…) un usuario podría simplemente comenzar a utilizar su computadora y encontrarla ya infectada, aun sin haber tocado nada (…) lo único necesario es que esté encendida y en red [para estar sujeta a infectarse]”

 

Las víctimas del ataque se encuentran con una ventana emergente “pop-up” indicando que sus archivos han sido cifrados y que deben pagar USD $300 en forma de criptodivisas (bitcoins)

 

Un mensaje indica que “Usted puede des-encriptar algunos de sus archivos de forma gratuita, pero si quiere recuperar todos sus archivos, Usted tiene que pagar. Usted tiene solo 3 días para realizar el pago. Luego el precio se duplica”

 

La ventana incluye una cuenta regresiva amenazando la pérdida definitiva de los archivos en 7 días.

 

¿Por qué son vulnerables las organizaciones?

Este malware explota una vulnerabilidad presente en varias versiones de Windows para la cual ya existe un parche y fue publicado en el “Microsoft Security Bulletin MS17-010” en Marzo de este año. No obstante, muchas organizaciones aún no han aplicado el parche en muchos de sus sistemas y en consecuencia son vulnerables a esta campaña de malware.

 

Análisis de Cisco Talos y Protección con Seguridad Cisco

Cisco Talos ha realizado un rápido análisis de esta campaña de ataque y ha publicado información detallada en el siguiente artículo:

http://blog.talosintelligence.com/2017/05/wannacry.html

 

Al igual que ocurre para la mayoría de las familias de malware, en el caso del WannaCry no hay una solución “mágica” y puntual que pueda bloquear completamente su impacto. En la medida que siempre existirán vulnerabilidades y una ventana de tiempo muchas veces demasiado extensa desde la publicación de parches y la aplicación de los mismos, resulta imprescindible considerar las siguientes tecnologías para contar con capacidades de bloqueo frente a malware como WannaCry:

 

Next-Generation IPS y Anti-malware de red

Con la plataforma Cisco Firepower NGIPS y Firepower Threat Defense ya están disponibles las firmas y protección a través de Security Intelligence para bloquear la infección inicial, las comunicaciones C&C y la propagación horizontal.

 

Protección de Endpoints

Cisco AMP (Advanced Malware Protection) para Endpoints: Todas las versiones conocidas del malware están bloqueadas y nuevos indicadores de comprometimiento fueron distribuidos para detectar nuevas versiones en pocos segundos/minutos

 

Seguridad de DNS

Cisco Umbrella: algunas de las versiones del malware se comunican a través del dominio iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com que está bloqueado a través de Cisco Umbrella

 

Anti-Malware en Proxy Web

Cisco Web Security Appliance (WSA) con AMP: la propagación por Web también puede ser detectada con AMP para WSA, y las comunicaciones de C&C en puertos web (80/443, etc.) son bloqueadas

 

Recomendaciones Generales

Para las organizaciones que no cuentan con estas tecnologías sugerimos:

  • Bloquear TODO el acceso externo de internet a los puertos de comunicación SMB (139, 445)
  • Contestar las consultas al dominio “iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com” con una dirección de un sinkhole (interno o externo que haga log de las conexiones, ya surgen de equipos infectados).
  • Implementar lo mas rápido posible el parche Microsoft del boletín MS17-010
  • Bloquear en sus firewalls toda la comunicación con las direcciones de los servidores C&C (188[.]166[.]23[.]127:443, 193[.]23[.]244[.]244:443, 2[.]3[.]69[.]209:9001, 146[.]0[.]32[.]144:9001, 50[.]7[.]161[.]218:9001, 217.79.179[.]77, 128.31.0[.]39, 213.61.66[.]116, 212.47.232[.]237, 81.30.158[.]223, 79.172.193[.]32, 89.45.235[.]21, 38.229.72[.]16, 188.138.33[.]220)

Es importante tener en cuenta que aunque sean implementadas estas medidas, no hay garantía de bloqueo completo del malware, inclusive considerando que los atacantes cambian rápidamente de estrategia para evadir las contramedidas. La implementación de una solución completa de protección en capas, con las tecnologías arriba descriptas, es la que mejor puede proteger a las organizaciones.

 

Recomendación Inmediata

 

1) Cisco Umbrella es la protección más rápida (literalmente se activa en minutos) que puede incorporar. Comience a utilizar Cisco Umbrella inmediatamente para tener su primera línea de defensa basada en DNS que permite inhibir la comunicación del WannaCry a los dominios maliciosos ya identificados. Ingrese en https://signup.umbrella.com/ para comenzar un trial de 14 días activando la protección.

 

2) Cisco AMP para Endpoints es una tecnología que puede convivir con su Anti-virus existente y agregar la protección contra malware, incluyendo las variantes de WannaCry. Puede solicitarnos una licencia de evaluación para comenzar a utilizar Cisco AMP para Endpoints.

 

3) Si cuenta con Cisco E-Mail Security, Cisco Web Security, Cisco ASA with Firepower o Cisco Firepower NGIPS, podría ser posible la activación de protección anti-malware (AMP) a través de una licencia en dichas plataformas. Póngase en contacto con nosotros para evaluarlo.

 

Respuesta ante Incidentes

En caso que su organización ya esté siendo víctima de un incidente y necesite apoyo para responder al mismo, podemos ofrecer servicios profesionales de respuesta a incidentes para ayudar a mitigar el impacto. Póngase en contacto con nosotros para mas información.

Comentarios

Comentarios