Nota informativa en relació al ciberatac massiu de 12 de maig de 2017 per Ransomware (WannaCry)

El 12 de maig de 2017 s’ha alertat d’un atac massiu mitjançant codi maliciós de tipus ransomware de la variant WannaCry. Presumptament, el vector d’entrada és una campanya de correu SPAM amb un arxiu adjunt que descarrega aquest malware. Actualment, l’impacte és altament crític afectant un alt nombre de països.

L’afectació d’aquesta amenaça està repercutint a sistemes Windows, xifrant tots els arxius de l’equip infectat així com els de les unitats de xarxa a què estiguin connectades, infectant a la resta de sistemes Windows que hi hagi en aquesta mateixa xarxa (protocol SMB).

El ransomware és un programari maliciós que restringeix l’accés a un ordinador infectat mentre es mostra una notificació fent peticions a la víctima per tal de pagar una quota per restaurar l’accés al sistema infectat.

La versió d’aquest ransomware es fa anomenar WannaCry. Aquest virus va sorgir al febrer de 2017 sota el nom de WannaCryptor en forma de virus amb l’extensió d’arxiu Wcry ransomware. Aquest codi maliciós xifra tots els arxius d’un equip de destinació amb la intenció de demanar un rescat. Durant el xifrat, el virus afegeix extensions .wcry d’arxiu per als arxius afectats.

El virus utilitza una vulnerabilitat d’execució de codi remota a través del protocol de compartició d’arxius SMB (port 445). Això significa que, actualment, el ransomware es propaga seguint el comportament d’un cuc a la resta de màquines Windows que es troben en aquesta mateixa xarxa, així com a la resta d’equips connectats, sense cap intervenció per part del usuari.

Actualment s’ha identificat que aquest ransomware s’executa com un procés en el sistema (tasksche.exe) que es connecta amb un servidor maliciós (C&C).

Els sistemes afectats són:

• Microsoft Windows Vista SP2
• Windows Server 2008 SP2 and R2 SP1
• Windows 7
• Windows 8.1
• Windows RT 8.1
• Windows Server 2012 and R2
• Windows 10
• Windows Server 2016
• Windows Vista
• Windows XP
• Windows Server 2003

Com la major part de malware d’aquestes característiques es produeixen mutacions del mateix. Actualment es coneix ja una nova variant de Wannacry, apareguda el diumenge 14 de maig, el qual segueix el mateix model d’infecció, però que requereix de una actualització de les contramesures a aplicar, amb el que cal evitar situacions de falsa seguretat pensant que ja no hi situacions de risc.

Només l’aplicació dels pegats recomanats pel fabricant Microsoft i una bona pràctica en l’ús i administració dels equips TI, com les que es descriuen en el punt següent, poden garantir una protecció adequada davant d’aquest tipus d’amenaces.

Mesures a adoptar:

Les mesures a adoptar com a principals contencions de seguretat per ordre de prioritat són:

• Instal·lar el pegat MS17-010 en els equips Windows en cas que aquest no estigui aplicat.
• Instal·lar el pegat CVE-2017-0290 Microsoft Malware Protection Engine Type Confusion Remote Code Execution.
• En el cas que no es pugui instal.lar els pegats anteriors (Windows XP sense service-pack 2 i 3), es recomana desactivar el servei SMB.
• Monitoritzar les connexions a SMB (port 445) i també a Netbios (port 139).
• Bloquejar els ports SMB (port 445) i Netbios (port 139) cap a entorns on no es pugui garantir que s’han aplicat els pegats mencionats anteriorment.
• Aplicació de firmes i mesures de monitoratge en els equips de filtratge de contingut de navegació i en els equips d’antivirus i antispam de correu incloent:
  • Monitoritzar els correus rebuts amb la finalitat de detectar la rebuda de correus maliciosos amb aquesta variant de malware.
  • Filtrat de IP identificades com a servidors maliciosos que comanden les màquines infectades (Command & control).
  • Filtrat de fitxers amb extensions potencialment perilloses
  • Aplicació de firmes per el bloqueig de continguts maliciosos associats a aquest malware.
• No bloquejar la URL:

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/favicon.icoiuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Recomanacions i aspectes a tenir en compte

Per evitar aquest potencials problemes, cal sempre tenir present la necessitat de protegir les nostres xarxes i sistemes de informació, així com la de tenir protocols establerts per la contenció i gestió dels incidents de seguretat que es pogueren esdevenir.

Per indicacions del Centre de Seguretat de la Informació de Catalunya, us adjuntem informació necessària per tal que la feu arribar als vostres usuaris i col·laboradors:

• Instruccions de Microsoft sobre les accions a prendre per protegir l’equip davant del darrer incident, https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
• Instruccions tècniques per protegir els nostres entorns i perímetres de seguretat davant d’aquest atac.
• Vídeo explicatiu de caire general i adreçat a tots els públics, de què és i com protegir-nos davant aquests atacs informàtics, https://www.youtube.com/watch?v=uvXkgKfb_6g
• Adreces i telèfon de l’equip de resposta de incidents del CESICAT per reportar aquests tipus de problemàtiques, https://cesicat.gencat.cat/ca/funcio-i-serveis/resposta-incidents/
• En el context de l’actual campanya es recomana reforçar la comunicació preventiva amb els usuaris referent al bon ús i cura de les tecnologies de la informació referent a missatges i correus rebuts i navegació per la xarxa a llocs segurs.
• En el cas que es produeixi una infecció és important desconnectar l’equip de la xarxa i apagar-lo.

En cas de requerir suport en relació a aquesta ciberamenaça us podeu dirigir a CESICAT-CERT per mitja de l’adreça cert@cesicat.cat.

Consells genèrics per a la prevenció Ransomware

Per evitar ser infectat us oferim una sèrie de recomanacions senzilles:

• Canvieu els paràmetres d’antispam del proveïdor de correu electrònic per tal de filtrar tots els missatges entrants potencialment nocius. Cal elevar el nivell de protecció més enllà del que ve per defecte, ja que és una contramesura important per evitar atacs de phishing.
• Definiu les restriccions específiques d’extensió d’arxiu en el seu sistema de correu electrònic. Assegureu-vos que els arxius adjunts amb les següents extensions estan en llistes negres: Js, .vbs, .docm, .hta, .exe, .cmd, .scr, i .bat. A més, tracteu els arxius ZIP adjunts en missatges amb extrema precaució.
• Canvieu el nom del procés “vssadmin.exe” de manera que el ransomware sigui incapaç de destruir totes les còpies instantànies de volum dels arxius d’una sola vegada.
• Mantingueu el seu tallafocs actiu en tot moment, per evitar que el ransomware es comuniqui amb el seu servidor de C&C. D’aquesta manera, l’amenaça no serà capaç d’obtenir les claus criptogràfiques i xifrar els arxius.
• Realitzar còpies de seguretat dels arxius amb regularitat, almenys els més importants. Un atac ransomware no és un problema, sempre que es mantingui un backup del seus arxius.
• Utilitzeu una suite antimalware eficaç. Hi ha eines de seguretat que identifiquen el comportament específic d’un ransomware i bloquegen la infecció abans que pugui causar el dany.